JP2016519367A - 複数のエンティティにまたがるシームレスな認証 - Google Patents

複数のエンティティにまたがるシームレスな認証 Download PDF

Info

Publication number
JP2016519367A
JP2016519367A JP2016505564A JP2016505564A JP2016519367A JP 2016519367 A JP2016519367 A JP 2016519367A JP 2016505564 A JP2016505564 A JP 2016505564A JP 2016505564 A JP2016505564 A JP 2016505564A JP 2016519367 A JP2016519367 A JP 2016519367A
Authority
JP
Japan
Prior art keywords
authentication
ticket
mfap
idp
agent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016505564A
Other languages
English (en)
Inventor
ケー.チョーイ ヴィノッド
ケー.チョーイ ヴィノッド
ブルシロフスキー アレック
ブルシロフスキー アレック
Original Assignee
インターデイジタル パテント ホールディングス インコーポレイテッド
インターデイジタル パテント ホールディングス インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by インターデイジタル パテント ホールディングス インコーポレイテッド, インターデイジタル パテント ホールディングス インコーポレイテッド filed Critical インターデイジタル パテント ホールディングス インコーポレイテッド
Publication of JP2016519367A publication Critical patent/JP2016519367A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

ユーザは、アイデンティティプロバイダ(IdP)および結果を生成する認証エージェントにより認証される。例えば、チケットのような、認証の証明は、サービスプロバイダ(SP)へ提供される。ユーザ装置(UE)は別のIdPおよび関連した結果を生成する認証エージェントで認証される。例えば、別のチケットのような、認証の証明は、上記SPへ提供される。1つまたは複数の認証エージェントはUEから離れた認証エンティティに存在することができる。多要素認証プロキシ(MFAP)は認証エージェントをトリガして認証プロトコルを実行し、MFAPはUEのクライアントエージェントへディケットを提供する。ユーザは、認証を活用して、同じUEのクライアントエージェント間を、または異なるUEのクライアントエージェント間を移行することができる。

Description

本発明は、認証に関する。
(関連出願の相互参照)
本出願は、2013年3月27日に出願された米国特許仮出願シリアルナンバー61/805,851号明細書の利益を主張し、その開示内容は、あたかも本明細書にすべて記載されているかの如く、参照により本明細書に組み込まれる。
多数のインターネットサービス(例えば、銀行取引、マルチメディア、ゲーム等)は、そのサービスがアクセスされる前にデバイスのユーザの認証を要求する。例えば、企業および「オーバーザトップの」アプリケーションサービスプロバイダは、ユーザを承認させるユーザのアイデンティティをアサートすることができる。サービスプロバイダ(SP)は、ユーザに各サービスプロバイダ(SP)によって提供されるサービスにアクセスするための個別の登録プロファイルを作成するように要求することが多い。従って、ユーザは、さまざまなサービスにアクセスするために種々のパスワードおよびユーザ名を有することが多く、ユーザにとってかなりの負担が生じている。
二要素認証を使用して、ユーザの認証を強化することができる。例示的な二要素認証は、ユーザのアイデンティティ(ID)およびパスワードを第1の認証要素として、ハードウェア/ソフトウェアベースのトークンを第2の認証要素とすることを基礎としている。ユーザIDおよびパスワードは、ユーザの存在を認証し、そしてトークンは、トークンの機能性が存在するデバイスのユーザの所有権を確認する。多要素認証は、2以上の要素を使用する任意の認証を指す。例示的な認証要素は、対応するパスワード、トークン、およびユーザの生体認証/行動的側面を有するユーザアイデンティティを含む。
多要素認証に対する現在のアプローチは、複数のデバイスの能力を活用していない。本明細書で説明されるさまざまな実施形態は、ユーザのユーザ機器(UE)に加え、多要素認証の所望のレベルを実現する認証エージェントとして機能する1つまたは複数のデバイスの能力を活用する。
ユーザおよび/またはユーザ機器(UE)を認証するためのシステム、方法および装置が本明細書で説明される。例として、ユーザ機器(UE)は、サービスプロバイダ(SP)によって提供されるサービスにアクセスするために、複数の認証要素がUEのユーザを認証するために要求されていることを判定するように動作する多要素認証プロキシ(MFAP)を含むことができる。MFAPは、要求された認証要素のうちの1つを利用して、認証を遂行するために、UE以外の異なるデバイスの認証エージェント(AA)を特定することができる。さらに、MFAPは、UEとは異なるデバイスである、異なるデバイスへのローカルリンクを確立することができる。MFAPは、認証を遂行するように認証エージェント(AA)をトリガすることができる。従って、MFAPは、ローカルリンク経由で、AAによる成功した認証を表すアサーションを受信することができる。MFAPは、要求された認証要素のうちの少なくとももう1つを利用して、認証を遂行するために、UEの1つまたは複数の付加的な認証エージェントを特定するようにさらに動作することができる。あるいは、MFAPは、要求された認証要素のうちの少なくとももう1つを利用して、認証を遂行するために、UEとは異なる第2のデバイスの1つまたは複数の付加的な認証エージェントを特定するように動作することができる。
例示的な一実施形態において、UEを操作するユーザは、サービスプロバイダ(SP)によって制御されるサービスへのアクセスを要求する。ユーザは、結果を出す、認証エージェント(AA)による、アイデンティティプロバイダ(IdP)によって認証され得る。例えば、チケットなどの、認証の証拠は、SPに提供され得る。チケットは、乱数値であってもよいし、またはチケットは、認証を遂行するセッションに接続される暗号で生成された値であってもよい。UEは、別の結果を出す、別の認証エージェントによる、別のIdPを用いて認証され得る。例えば、別のチケットなどの、認証の証拠は、SPに提供され得る。認証エージェントのうちの1または複数は、UE以外のエンティティにあるものとすることができる。多要素認証プロキシ(MFAP)は、認証エージェントをトリガして、認証プロトコルを実行することができ、そしてMFAPは、チケットを、例えば、UEのブラウザまたはアプリケーションなどの、第1のクライアントエージェントに提供できる。MFAPはまた、同じユーザによって使用される別個のUEまたは第1のクライアントエージェントと同じUEにある、別のクライアントエージェントの認証も提供できる。例えば、別のクライアントエージェントを使用して、有効な新鮮度レベルを有するすでに発生した認証を活用することができる。従って、複数のエンティティを用いるシームレスな認証は、MFAPによって可能にすることができる。例えば、複数のエンティティは、同じUEにある複数のクライアントエージェント(例えば、ブラウザ、アプリケーション)、または異なるUEにある複数のクライアントエージェントであってよい。従って、エンティティは、例えば、UEにあるアプリケーションまたはUE自体を指す。
別の例示的な実施形態により、認証システムは、第1のユーザ機器(UE)、サービスプロバイダ(SP)、および多要素認証プロキシ(MFAP)を備える。SPのポリシーに基づいて、MFAPは、第1のUEのユーザがSPによって提供されるサービスにアクセスするために多要素認証が要求されていることを判定する。MFAPは、第1の要素認証を遂行するために第1の認証エージェントを特定し、そして第1の要素認証をトリガし、その結果、MFAPに送信される第1のチケットが生じる。同様に、MFAPは、第2の要素認証を遂行するために第2の認証エージェントを特定し、そして第2の要素認証をトリガし、その結果、MFAPに送信される第2のチケットが生じる。第2の認証エージェントは、第1の認証エージェントとは異なるデバイスにあるものとすることができる。MFAPは、第1および第2のチケットを、例えば、第1のUEのブラウザなどの、第1のクライアントエージェントに送信し、それによって、第1のUEがSPによって提供されるサービスにアクセスすることが可能となる。一実施形態により、MFAPは、第1のUEにあるものとすることができる。あるいは、MFAPは、第2のUEにあるものとすることができ、そしてMFAPは、ローカルリンク(例えば、Bluetooth)またはリモートリンク経由で第1のUEの第1のクライアントエージェントと通信できる。認証エージェントのうちの少なくとも1つは、第1のUEにあるものとすることができる。あるいは、第1および第2の認証エージェントのうちの少なくとも1つは、第1のUEとは異なる第2のUEにあるものとすることができる。さらに別の実施形態により、ユーザが第1のクライアントエージェントを使用していて、第2のクライアントエージェントの使用に切り替えたいのであれば、MFAPは、IdPによりまたはMFAPによるプロキシ方法(例えば、第1のクライアントエージェントを使用して実行される認証を活用して)により、単一の要素または複数の要素を使用して、第2のクライアントエージェントを使用するユーザがシームレスに認証されるように、認証を容易にする。第1のクライアントエージェントおよび第2のクライアントエージェントは、同じUEにあるものとしてもよいし、または異なるUEにあるものとしてもよい。
例示的な実施形態において、SPのポリシーは、多要素認証の要求された保証レベルを備え、そして第1および第2の認証エージェントを使用して、多要素認証の要求された保証レベルを取得できる。認証の保証レベルを組み合わせて、集約された認証保証レベルを形成することができる。認証の任意の数の要素が所望通りに完了され得るというより、任意の数の認証エージェントが所望通りに利用され得ることが認識されよう。各認証エージェントは、対応するアイデンティティプロバイダと関連付けられ得る。例えば、第1の認証エージェントは、第1のチケットを生成することができ、そしてそれに関連付けられるIdPは、第1のチケットと比較されるチケットを生成することができる。チケットがマッチすれば、第1の認証エージェントに対応する認証の要素は、成功である。例示的な代替的実施形態において、IdPは、IdPによって、関連付けられた認証エージェントに送信されるチケットを生成することができ、そしてそのチケットは、サービスへのアクセスを取得するために認証エージェントによってクライアントエージェントに提示される。サービスを取得するためにクライアントエージェントによって提示されるチケットが、IdPがマスターIdPに提供されるチケットにマッチすれば、認証は、成功である。
添付図面と共に例として与えられた、以下の説明からより詳細な理解を得ることができる。
例示的な実施形態による複数の認証エンティティを用いる例示的な認証システムのブロックシステム図である。 認証要素対認証保証レベルのマッピングの例を示す表である。 実施形態による複数の認証エンティティを使用する多要素認証のフロー図である。 例示的な実施形態によるOpenID(OID)−汎用ブートストラッピングアーキテクチャ(GBA)(OID−GBA)を使用する三要素認証のフロー図である。 例示的な実施形態によるOID−GBAに基づく二要素認証のフロー図である。 ブラウザがUEとは別個である、別の実施形態による、OID−GBAに基づく二要素認証の別のフロー図である。 例示的な実施形態によるGBAプロセスを通じてユーザ認証がループされる間に生成される三要素認証のフロー図である。 付加的な詳細が描かれた、図4Dに示した三要素認証のフロー図である。 図4Eに描かれている呼フローの圧縮バージョンである。 例示的な実施形態による、新鮮な認証結果がアサートされる多要素認証のフロー図である。 例示的な実施形態による、複数の新鮮な認証結果がアサートされる多要素認証のフロー図である。 開示された1つまたは複数の実施形態が実装され得る例示的な通信システムのシステム図である。 6Aに図示された通信システム内で使用され得る例示的なワイヤレス送信/受信ユニット(WTRU)のシステム図である。 6Aに図示された通信システム内で使用され得る例示的な無線アクセスネットワークおよび例示的なコアネットワークのシステム図である。
次の詳細な説明は、例示的な実施形態を図示するために与えられ、本発明の範囲、適用性、または構成を限定することを意図しない。本発明の精神および範囲から逸脱しない範囲で要素およびステップの機能および配置においてさまざまな変更が行われてもよい。
上述のように、多要素認証に対する現在のアプローチは、複数のデバイスの能力を活用していない。特に、現在のアプローチは、複数のデバイスのそれぞれの間でシームレスに切り替わっている間、強固な多要素認証を実現するために複数のデバイスを使用していない。本明細書で説明されるさまざまな実施形態は、ユーザのユーザ機器(UE)に加え、多要素認証の所望のレベルを実現する認証エージェントとして機能する1つまたは複数のデバイスの能力を活用する。例示的な一実施形態において、例えば、複数のデバイスなどの、複数の認証エンティティを使用して、強固な多要素認証を提供する。さらに、複数のデバイスは、複数の認証要素を提供するために互いにシームレスに通信できる。以下で説明するように、多要素認証は、さまざまな実施形態により分割端末のシナリオに実装され得る。分割シナリオと呼ぶこともできる、分割端末のシナリオは、UEの認証のためにUEが2以上の部分に分割される、任意のシナリオを指す。例として提示される、1つの分割端末のシナリオにおいて、所与のUEは、所与のUEのUICCおよび別個に、例えば、所与のUEとは異なるデバイスに配置されているブラウザを使用して認証される。分割端末シナリオはまた、多要素認証プロキシ(MFAP)が、USB接続、WiFi、赤外線、Bluetooth/NFC等といった、ローカルリンクを使用してMFAPとペアにされる他のローカル認証のサービスを使用する、シナリオを指すこともある。例示的なローカル認証デバイスは、限定されないが、スマートウォッチ、Googleグラス、または他のウェアラブルコンピューティングデバイス、スタンドアロンの生体または行動センサ等を含む。例示的な実施形態において、多要素認証は、OpenID(OID)汎用ブートストラッピングアーキテクチャ(GBA)(OID−GBA)に基づく。多要素認証結果は、ユーザ/ユーザ機器(UE)がSPによって提供されるサービスへのアクセスを受信することができるように、組み合わされてサービスプロバイダ(SP)に配信される。例示的な実施形態において、認証バインディングは、複数の認証要素の結果を使用して作成される。以下で説明するように、多要素認証は、例えば、OpenID/GBAフレームワークなどの、GBAフレームワークを使用して遂行され得る。
サービスにアクセスするために、ユーザは、サービスを提供するSPの認証要件を満たさなければならないこともある。認証要件は、さまざまなサービスの認証ポリシーに基づくことができる。例えば、SPのポリシーは、認証が、SPによって提供されるサービスがアクセスされる前の、認証強度と呼ぶこともできる、所定の保証レベルを満たすことを要求できる。従って、図2を参照すると、保証レベルは、認証の強度を示すことができ、そして高い保証レベルは、認証の複数の要素を要求することができる。例示的な実施形態において、保証レベルは、ユーザが認証される保証のレベルを指す。保証レベルは、使用される認証プロトコル、認証のためのいくつかの要素、認証要素のタイプ(例えば、生体、デバイス、ユーザ)、認証の新鮮度、補足条件、またはそれらの任意の適切な組み合わせに基づくことができる。保証レベルは、外部のオーソリティによって規定され得る。例示的な実施形態において、所望の保証レベルは、例えば、米国国立標準技術研究所(NIST)、第3世代パートナーシッププロジェクト(3GPP)、ワールドワイドウェブコンソーシアム(W3C)等を含む、標準化団体のような、さまざまな外部のオーソリティによって指定され得る。例えば、外部のオーソリティは、例えば、アプリケーション自身のセキュリティ要件、リクエストされたサービスをホストする会社のセキュリティポリシー等といった、さまざまな基準に基づいて保証レベルを指定できる。さらなる例として、SPは、SPがリクエストされたサービスをユーザに提供するためにそのSPが要求する保証レベルを指定できる。
さらに図2を参照すると、SPは、サービスへのアクセスを許可する前に認証新鮮度レベルが満たされることを要求できる。認証に対応する認証新鮮度レベルは、その認証が遂行された時間期間を示すことができる。限定せずに提示された、新鮮度レベルの例として、SPは、認証が遅くとも30秒以内に実行されることを要求できる。ある場合には、多要素認証は、SPの認証ポリシーを順守するために調整されなければならないこともある。SPのさまざまなポリシーに基づいて、例えば、複数の認証エージェントは、本明細書で説明されるさまざまな実施形態により、ユーザまたはUEを認証するために使用され得る。
図1は、例示的な実施形態により、例示的な認証システム100を示している。図1を参照すると、図示された実施形態により、認証システム100は、第1のクライアントエージェント104を含む第1のユーザ機器102を含む。クライアントエージェントという語は、一般に、UEにあるブラウザまたはクライアントアプリケーションを指す。図示された実施形態により、第1のクライアントエージェント(CA)104は、第1のUE102にあるラウザまたはクライアントアプリケーションを指す。ユーザ機器(UE)という語は、以下でさらに説明されるように、任意の適切なワイヤレス送信/受信ユニット(WTRU)を含むデバイスを指してよいことが理解されよう。例えば、WTRUは、固定または移動加入者ユニット、ページャ、セルラー電話、携帯情報端末(PDA)、スマートフォン、ラップトップ、タブレットコンピュータ、パーソナルコンピュータ、ワイヤレスセンサ、家電等を指す。本明細書で使用される際、特に指定のない限り、サービスを開始するUEは、一次UEと呼ばれ、そして一次UEによって開始された後のセッションを継続するUEは、二次UEと呼ばれる。例えば、図1を参照すると、UE102は、サービスへのアクセスを開始することができ、そして例えば、第2のUE106などの、別のUEは、UE102がサービスへのアクセスを開始した後にそのサービスへのアクセスを継続する。従って、第1のUE102を一次UEと呼ぶことができ、第2のUE106を二次UEと呼ぶことができる。図1は、2つのUEを描いているが、本明細書で説明されるさまざまな実施形態により、所望通りにサービスにアクセスするために任意の数のUEが使用されてよいことが理解されよう。
CAは、一次UEおよび二次UEのうちの少なくとも1つ、例えば、両方にあるものとすることができる。図1を参照すると、第1のCA104は、第1のUE102にあるものとあり、第2のCA108は、第2のUE106にあるものとする。ユーザは、例えば、スマートフォン、タブレット、ラップトップ、またはデスクトップなどの、複数のUEを有することができ、そしてCAは、UEのうちの少なくとも1つにあるものとすることができる。従って、図示された実施形態により、ユーザは、例えば、スマートフォンになり得る、第1のUE102(一次UE)上でアプリケーションまたはサービスを始動することができ、その後ユーザは、第2のUE106にある第2のCA108を使用して、例えば、タブレットになり得る、第2のUE106上でシームレスに同じアプリケーションまたはサービスの使用を継続できる。例えば、第1のUE102のユーザは、第1のCA104の認証を活用することによって第2のCA108に移行することができる。第2のCA108が第2のUE106にあるるように図示されているが、第2のCA108は代替的に、第1のUE102にあるものとできることが理解されよう。
図1について続けて参照すると、認証システム100は、例えば、第1の認証エージェント(AA)110a、第2のAA110b、第3のAA110c、および第4のAA110dなどの、1つまたは複数の認証エージェント(AA)110を含むことができる。4つの認証エージェントが図示されているが、任意の数の認証エージェントを認証システムに所望通りに含むことができることが理解されよう。認証エージェント110は、一般に、クライアント、認証のための機能性と呼ぶこともできる、第1のUE102に提供するハードウェア/ソフトウェアを含むことができる。ある場合には、認証エージェントは、例えば、第1のUE102によって実装される第4のAA110dなどの、UEに実装される。従って、認証エージェントのうちの少なくとも1つは、UE102の少なくとも一部になる。さらに、認証エージェントのうちの少なくとも1つは、第2のUE106にあるものとすることができる。あるいは、認証エージェントは、スタンドアロンの認証デバイスまたはクライアント機能として実装され得る。図示された例示的な実施形態により、第1のAA110aは、例えば、モバイルデバイス(例えば、電話機)にある、加入者識別モジュール(SIM)、ソフトウェアSIM、またはユニバーサル集積回路カード(UICC)などの、アイデンティティモジュールによって実装される。第2のAA110bは、電子キーフォブによって実装され得る。第3のAA110cは、スタンドアロンの生体認証クライアントによって実装され得る。例示的なスタンドアロンの生体認証クライアントは、指紋リーダー、脈拍を測定するあるいは人が生存していることを検証するスマートウォッチ、耳たぶを認識するヘッドフォン、虹彩走査または他の顔認識/目の検証に使用されるグラス、生体センサを含む他のウェアラブルデバイス等を含む。図示された認証エージェントは、例示目的で提示され、さまざまな代替的認証エージェントを本明細書のさまざまな実施形態において使用されてよいことが理解されよう。例えば、AAは、ユーザまたはUEの資格を格納するアプリケーションで構成することができる。さらに以下に説明されるように、図示された実施形態により、認証エージェント110は、第1のUE102および/または第1のUE102のユーザの認証に参加することができる。第1のCA104および認証エージェントAA110は、例えば、内部通信、ローカルリンク(例えば、Bluetooth)、またはリモートリンクなどの、さまざまな手段を経て互いに通信できる。ローカルリンクは、WiFi、赤外線等を介した通信を指す。MFAP112は、ローカルリンクを使用して所与のAAと通信できる。リモートリンクは、リンクがMFAP112を経由する、2つのデバイス間の通信リンクを指す。本明細書で使用される際、内部通信は、単一のデバイス内で起こる通信を指す。
さらに図1を参照すると、図示された実施形態により、多要素認証プロキシ(MFAP)112は、第1のUE102にある。MFAP112は、例えば、第1のUE102などの、ユーザデバイスに配置され得る。MFAP112は、分割端末またはマルチデバイスのシナリオにおいて多要素認証およびアサーションを可能にする機構を提供できる。例示的な実施形態により、MFAP112は、リクエストされた保証レベルを判定するように構成される。MFAP112は、認証レベルリクエストを認証の要素に翻訳するようにさらに構成され得る。例えば、翻訳された認証の要素のそれぞれは、その要素と関連付けられたそれぞれの認証強度を有することができる。従って、MFAPは、認証レベルリクエストを、リクエストされた保証レベルを実現する認証要素の組み合わせに翻訳することができる。MFAP112は、多要素認証のために認証要素を判定するサービスプロバイダのポリシーを翻訳するプロキシエンジンにコンタクトするようにさらに構成され得る。
例示的な実施形態において、認証要素が判定された後、MFAP112は、認証要素のそれぞれをトリガするために1つまたは複数の認証エージェント(AA)と通信する。MFAPとAAとの間の通信は、ローカルリンクを介して、またはリモートリンクを介して同じエンティティ内で遂行され得る。図1を参照すると、図示された実施形態により、MFAP112は、ローカルリンク114を介して第2のAA110bと通信する。MFAP112はさらに、ローカルリンクを介して、第1の認証エージェント110aと第3の認証エージェント110cのそれぞれとも通信する。さらに、図示されたMFAP112は、内部リンク118を介して第4のAA110dと通信する。
さらに以下に説明されるように、MFAP112は、複数の認証要素を組み合わせ、そして複数の認証要素の組み合わせと関連付けられた集約保証レベルを計算するようにさらに構成され得る。さらに、所与のMFAPおよび所与のAAは、承認されたMFAPおよびAAのみが互いに通信することが可能になるように、そしてMFAPとAAとの間の通信がセキュアになるように、互いに認証することができる。さらに、所与のMFAPおよび所与のCAは、承認されたMFAPおよびCAのみが互いに通信することが可能になるように、そしてMFAPとCAとの間の通信がセキュアになるように、互いに認証することができる。
再度図1を参照すると、図示された実施形態により、MFAP112は、内部リンク118を介して認証の結果を第1のCA104に伝達する。例えば、MFAP112は、各認証要素と関連付けられた新鮮度レベルおよび保証レベルを伝達できる。さらに、MFAPは、遂行された各認証要素の組み合わされた保証レベルを表す、集約保証レベルをCA104に伝達できる。MFAP112は、ローカルリンク114または内部リンク118などの、所望通りの手段を介してCAと通信できる。図示された実施形態により、MFAP112は、第1のUE102内の内部リンク118を介して第1のCA104と通信し、そしてMFAP112は、ローカルリンク114を介して第2のCA104と通信する。
従って、MFAP112は、サービスプロバイダ(SP)によって提供されるサービスにアクセスするために、複数の認証要素がUE102のユーザを認証するために要求されていることを判定できる。MFAP112は、要求された認証要素のうちの1つを利用して、UE102とは異なるデバイス、例えば、UE106の認証エージェント(AA)を特定して認証を遂行できる。MFAP112は、異なるデバイス(例えば、UE106)へのローカルリンクを確立することができ、そしてMFAP112は、AAをトリガして特定されたAAが認証を遂行するようにできる。それに応じて、MFAP112は、そのローカルリンク経由で、そのAAによって、成功した認証を表すアサーションを受信できる。
例示的な実施形態において、MFAP112は、ネットワークに配置されているアイデンティティプロバイダ(IdP)サーバのクライアントタイプの役割を担う。IdPは、ユーザの好適な識別子の判定によってマスターIdPとして指定され得る。例示的な実施形態において、マスターIdPは、SPとの相互接続同意を通じて、ユーザおよび/またはデバイスを認証する責任を負う。例えば、マスターIdPは、認証が一要素または多要素であるかどうかの、認証自体を遂行するための資産(assets)を備えることができる。あるいは、マスターIdPは、その資産に加えまたはその代わりに、他のIdPの資産を用いることができる。例えば、マスターIdPは、認証エージェントによって出された結果に基づいてIdPがアイデンティティをアサートすることができるように、他のIdPをトリガしてコンテキストを作成できる。さらに、マスターIdPは、MFAP112のサーバとして機能することができる。
MFAP112は、認証エージェントのサービスを呼び出すことを可能にする情報で構成される。例えば、構成された情報は、それぞれの認証エージェント、認証エージェントのIPアドレス、認証エージェントのMACアドレス、所与のAAから認証を開始するために所与のAAによって要求されるパラメータ等に対応するURLを含むことができる。図1に示した図示された実施形態により、MFAP112は、ブラウジングエージェント(CA104)およびAA(第4のAA110d)をホストする同じデバイス(UE102)にある。あるいは、MFAP112は、ブラウジングエージェントをホストしないが、AAをホストするエンティティにあるものとすることができる。さらに別の実施形態において、MFAP112は、ブラウジングも認証機能も遂行しないデバイスにあるものとすることができる。MFAP112の機能性は、ブラウザへのプラグインとして実装され得るか、またはアプリケーションに組み込まれ得る。MFAPの機能を呼び出すためのアプリケーションプログラミングインタフェース(API)は、複数のクライアントエージェント(例えば、ブラウザ、アプリケーション)がMFAPの機能を呼び出すことができるように、提供され得る。例えば、MFAP112は、他のアプリケーションからのAPIコールを用いて呼び出されるスタンドアロンのアプリケーションとして存在し得る。MFAP112は、ブラウザのインタラクション、例えば、インテントを使用してトリガされるスタンドアロンのアプリケーションとして存在し得る。
次に図3を参照すると、例示的な認証システム300は、1つまたは複数の認証エージェント、例えば、第1のAA310aおよび第2のAA310b、CA304、SP306、マスターIdP308、およびMFAP112を含む。参照数字は、便宜上図全体を通して繰り返され、2以上の図に現れる参照数字は、それらの数字が表れる各図の同じまたは同様の特徴を指すことが理解されよう。2つの認証エージェントが認証システム300に図示されているが、認証システム300の認証エージェントの数は、所望通りに変えてよいことが理解されよう。図示された実施形態により、第1の認証エージェント310aと第2の認証エージェント310bはそれぞれ、第1のIdP309aと第2のIdP309bに関連付けられる。さらに、CA304がSP306によって提供されるサービスへのアクセスを提供することができるように、認証エージェント310aと310bおよびアイデンティティプロバイダ309aと309bは、二要素認証を可能にできる。SP306、マスターIdP308、第1のIdP309a、および第2のIdP309bをまとめて、ネットワーク側の認証システム300と呼ぶことができる。SP306はまた、限定されないが、信頼するパーティー(RP)306と呼ぶこともできる。例示的な二要素認証が図3に図示されているが、図3に示した呼フローは、3以上の要素を使用する認証に拡張されてよいことが理解されよう。図示された実施形態により、MFAP112は、SP306のポリシー要件にアクセスし、そしてマスターIdP308は、そのポリシーを翻訳して、そのポリシー要件を満たす認証プロトコルのパラメータを判定する。
図3について続けて参照すると、CA304は、SP306によって提供される要件に基づいてMFAP112のサービスを呼び出すことができる。例えば、MFAP112は、ポリシーを翻訳して、要求された認証要素、要求された認証強度(保証レベル)、および/または要求された認証の新鮮度レベルを判定できる。MFAP112は、要求された認証エージェントが判定された後、要求された認証エージェントのそれぞれにコンタクトすることによってさまざまな認証プロトコルの始動をトリガすることができる。図示された実施形態により、MFAP112は、トリガされた認証プロトコルの結果を組み合わせ、そしてその認証の結果をCA304に提示する。マスターIdP308は、IdP309aおよび309bのそれぞれから、それぞれの保証レベルを有する認証要素のそれぞれの結果を収集できる。マスターIdP308は、CA304および/またはCA304のユーザのアイデンティティをSP306にアサートすることができる。アサーションは、マスターIdP308がCA304から受信する多要素認証の証拠(例えば、チケット)に基づくことができる。さまざまな例示的な実施形態において、マスターIdP308は、そのマスターIdPがCA304から受信するチケットを、そのマスターIdPがIdP309aおよび309bのそれぞれのから受信するチケットと比較できる。本明細書で使用される際、チケットという語は、一般に、認証パラメータを指す。例えば、チケットは、ノンス、暗号値、または認証アサーションを表すことができる。
さらに図3を参照すると、図示された実施形態により、312において、ユーザリクエストは、CA304経由で(SP306によって提供される)サービスにアクセスする。CA304は、SP306と通信することができ、そしてその通信は、ユーザと関連付けられたユーザIDを含むことができる。ユーザIDに基づいて、314において、SP306は、ユーザIDと関連付けられたマスターIdP308の発見を遂行して関連付ける。マスターIdP308は、OpenIDアイデンティティProvider(OP)またはネットワークアクセス機能(NAF)と関連付けられた機能性を遂行することができ、従って、マスターIdP308は、OP308またはNAF308とも呼ばれ得る。316において、図示された実施形態により、SP306は、例えば、SP306のポリシーに基づいて、SP306によって提供されるリクエストされたサービスにユーザがアクセスするために、多要素認証が要求されていることを判定する。SP306はまた、SP306によって提供されるリクエストされたサービスにユーザがアクセスするために要求される認証の保証のレベルを判定することもできる。318において、図示された実施形態により、SP306は、その保証レベル要件をCA304に伝達する。320において、CA304は、MFAP112のサービスを呼び出す。
例示的な実施形態において、CA304およびMFAP112は、MFAP112のサービスがセキュアに呼び出されるように、互いに認証する。相互認証は、認証されたCAのみがMFAP112のサービスを呼び出すこと、および認証されたMFAPのみがCA304にサーブすることを確保できる。さらに図3を参照すると、320において、CA304は、図1について説明したように、ローカルリンクまたは内部リンク経由でAPIコールを使用することによってMFAP112のサービスを呼び出すことができる。APIコールは、所望通りに任意の通信リンクを介して送信され得ることが理解されよう。図示された実施形態により、CA304はまた、SP306によって要求される保証情報も提供する。322において、サービスにアクセスするために要求される保証のレベルに基づいて、例えば、MFAP112は、要求される保証レベルを実現するために遂行されることができる認証要素のタイプおよび強度を判定する。MFAP112はさらに、要求された認証を遂行することができる認証エージェントを特定できる。例えば、図示された実施形態により、MFAP112は、第1のAA310aおよび第2のAA310が認証要素の判定されたタイプおよび強度と関連付けられていることを判定する。第1の認証エージェント310aが特定された後、324において、MFAP112は、第1の認証エージェント310aが認証プロトコルを開始するように、トリガを第1の認証エージェント310aに送信する。326において、マスターIdP308は、第1の認証エージェント310aによって開始される認証プロトコルのコンテキストが作成されるプロトコルをトリガする。例えば、マスターIdP308は、第1のAA310aと関連付けられた第1のIdP309aと通信して、第1のIdP309aが、第1のAAが開始した認証(the first AA-initiated authentication)のコンテキストを生成することをリクエストできる。324および326において遂行されるステップは、互いに並行して遂行され得る。
図3について続けて参照すると、図示された実施形態により、328において、第1のAA310aおよび第1のIdP309aは、認証を実行する。その認証は、CA304のユーザの認証(例えば、ユーザの生体認証)、CA304の認証、CA304と関連付けられたデバイスの認証等を備えることができる。例えば、第1のチケットのような、チケットは、認証が成功すると、第1のIdP309aによって生成され得る。図示された実施形態により、第1のチケットは、第1の認証エージェント310aに送信される。第1のIdP309aによって生成されるチケットは、セキュアな方法で第1のAA310aに送信され得る。あるいは、第1のチケットは、第1のIdP310bによって使用される第1のチケットを生成する同様の機構を使用して、第1のAA310aによって生成され得る。それにもかかわらず、認証の終了時に、第1のAA310aと第1のIdP309aの両方は、認証の証拠を有することができ、その証拠は、図3により第1のチケットと呼ばれる。
330において、324において受信されたトリガに応答して、第1のAA310aは、第1のチケットを備えるトリガ応答を送信できる。トリガ応答は、MFAP112に送信されることができ、そしてそのトリガ応答は、成功した認証が遂行されたことを証明できる。332において、ネットワーク側において、第1のIdP309aは、第1のチケットおよびそれに関連付けられた新鮮度(例えば、認証が実行された時の日付/時間)をマスターIdP308に送信できる。
334において、例えば、ポリシーに基づいて、MFAP112は、第2の認証要素を使用してトリガを第2のAA310bに送信することによって第2の認証の始動を開始できる。336において、図示された実施形態により、マスターIdP308は、第2の認証コンテキストを作成するトリガを第2のIdP309bに送信する。トリガされる第2の認証コンテキストは、第2のAA310bによって遂行される、第2の認証要素を使用して、第2の認証と関連付けられる。334および336におけるステップは、互いに並行して遂行され得る。338において、図示された実施形態により、第2のAA310bと第2のIdP309bとの間の第2の要素認証が実行される。第2の要素認証を遂行するために使用される第2の要素は、ユーザの生体認証、ユーザと関連付けられた別の要素、デバイスと関連付けられた要素、ユーザの行動分析と関連付けられた要素等であってよい。あるいは、例えば、第2のAA310bとユーザとの間の第2の要素認証が実行され得る。このような認証は、例えば、生体認証、ユーザデバイスと関連付けられた要素の認証、またはユーザの行動分析と関連付けられた要素を含むことができる。第2の要素認証の終了時に、第2のIdP309bは、例えば、第2のチケットなどの、チケットを生成できる。第2のチケットは、ランダムノンスを含むことができ、および/またはそのチケットは、暗号化して生成され得る。第2のチケットは、第2のAA310bに送信され得る。あるいは、例示的な実施形態において、第2のAA310bは、第2のIdP309bによって使用される第2のチケットを生成する機構を使用して、第2のチケットを生成し、従って、その第2のチケットは、第2のIdP309bから第2のAA310bに送信されない。340において、334において送信されたトリガに応答して、第2のAA310bは、第2のチケットおよびそれに関連付けられた新鮮度をMFAP112に送信する。同様に、342において、第2のIdP309bは、第2のチケットおよびそのチケットに関連付けられた認証の新鮮度をマスターIdP308に送信できる。あるいは、例えば、ローカル認証が第2のAA310bによって実行されるのであれば、第2のAA310は、第2のチケットを生成して、その第2のチケットをMFAP112にフォワードすることができる。
図3について続けて参照すると、図示された実施形態により、344において、MFAP112は、第1のチケットと第2のチケットを統合する。MFAPはさらに、CA304の集約が実現された保証レベルおよび新鮮度レベルを計算できる。一例において、集約保証レベルは、各認証要素と関連付けられた保証レベルを合算することによって計算される。別の例として、保証レベルは、両方の認証要素に対応する集約保証レベルにおいて一方の認証要素が他方の認証要素と比較してより重く重み付けされるように、重み付けされ得る。各認証要素のエッジを因数分解する、新鮮度減衰関数などの、付加的なパラメータは、集約された保証要素を計算する時に考慮され得る。別の実施形態において、MFAP112は、計算された集約保証レベルを送信しないが、その代わりに認証の要素のそれぞれに関係する情報をマスターIdPに送信し、そしてそのマスターIdPは、集約保証レベルを計算することができる。346において、CA304は、第1および第2のチケットをマスターIdP308に提示する。CA304はさらに、認証のそれぞれと関連付けられた実現された保証レベルおよび新鮮度をマスターIdP308に送信できる。348において、マスターIdP308は、そのマスターIdPがCA304から受信した第1のチケットと第2のチケットをそれぞれ、第1のIdP310aと第2のIdP310bによってそのマスターIdPに配信された第1のチケットと第2のチケットと比較する。350において、例えば、第1のチケットの両方が互いにマッチして、第2のチケットの両方が互いにマッチすれば、マスターIdP308は、アサーションを作成する。マスターIdP308は、そのアサーションをSP306に送信する。送信されるアサーションは、遂行された多要素認証によって実現された保証レベルおよび新鮮度レベルを含むことができる。あるいは、例えば、ローカル認証が実行されたのであれば、MFAP112は、そのチケットおよびアサーションを直接SP306に提示できる。352において、図示された実施形態により、SP306は、アサーションを検証して、成功メッセージをCA304に提供し、それによってCA304およびCA304のユーザにSP306によって提供されるリクエストされたサービスへのアクセスを提供する。
図4Aを参照すると、例示的な実施形態により、OID−GBAシステム400aは、三要素認証を提供するために使用される。OID−GBAシステム400は、UE404、UE404にある第1のAA410a、第2のAA410b、第3のAA410c、UE404にあるMFAP112、オーバーザトップ(OTT)SP406(RP406と呼ぶこともできる)、第1のIdP409a(マスターIdPと呼ぶことができる)、第2のIdP409b、第3のIdP410bを含む。例えば、ブラウザなどの、クライアントエージェント(CA)もUE404にあるものとすることができる。
412において、図示された実施形態により、UE404のユーザは、UE404、および特にUE404のCA経由で(SP404によって提供される)サービスへのアクセスをリクエストする。UE404は、SP406と通信することができ、そしてその通信は、ユーザと関連付けられたユーザが供給した識別子(ID)を含むことができる。ユーザIDに基づいて、414において、SP406は、発見を遂行し、そしてユーザIDと関連付けられた第1のIdP409aと関連付ける。第1のIdP409aは、OpenIDアイデンティティプロバイダ(OP)またはネットワークアプリケーション機能(NAF)と関連付けられた機能性を遂行することができ、従って、第1のIdP409aをOP409aまたはNAF409aと呼ぶこともできる。416において、図示された実施形態により、SP406は、例えば、SP406のポリシーに基づいて、SP406によって提供されるリクエストされたサービスにユーザがアクセスするために要求される認証の保証のレベルを判定できる。保証のレベルに基づいて、例えば、SP406は、SP406によって提供されるリクエストされたサービスにユーザがアクセスするために、多要素認証が要求されていることを判定できる。SP406はまた、SP406によって提供されるリクエストされたサービスにユーザがアクセスするために、認証の適切な要素が実行されなければならないことも判定できる。418において、図示された実施形態により、UE404は、OpenID認証リクエストを経由する、OP409aと呼ぶこともできる、第1のIdP409aにリダイレクトされる。SP406はまた、そのSPの保証のレベル要件をUE404に伝達することもできる。さらに、418において、MFAP112のサービスは、例えば、図1および図3に対して説明したように、呼び出される。420において、UE404、特に第1のAA310a、および第1のIdP309aは、第1の認証を実行する。第1の認証は、第1の認証要素を使用してユーザを認証することができる。第1の認証要素は、第1のIdP309aと関連付けられたユーザ名およびパスワードを含むことができる。例えば、ユーザは、UE404においてユーザ名およびパスワードを入力することができ、そして第1のIdP309aは、そのユーザ名およびパスワードを検証することができる。あるいは、ローカル認証が実行されていれば、例えば、ローカル認証エージェント(第1のAA410a)は、IdP409aの関与を用いずにユーザ名およびパスワードを検証できる。ローカル認証は、UE404によって遂行される認証を指す。従って、図示された実施形態により、第1の認証は、ユーザの認証である。422において、第1の認証に応答して、第1のIdP409aは、第1の認証が成功したのであれば、第1のチケットを生成する。例えば、第1のチケットは、第1の要素認証が成功したことを示すことができる。424において、図示された実施形態により、成功した認証が実行されたという証拠を表す、第1のチケットは、UE404に送信される。その第1のチケットは、そのチケットに関連付けられた新鮮度レベルを含むことができる。426において、UE404は、その第1のチケットを格納する。428において、第1のIdP409aは、その第1のチケットを格納する。あるいは、ユーザがAA410aによってローカルに認証されるのであれば、そしてそのローカル認証が成功したのであれば、AA410aは、第1のチケットを生成して第1のチケットをMFAP112に送信して、その第1のチケットがMFAP112のみに格納されるようにできることが理解されよう。従って、MFAP112は、例えば、ローカルリンク経由で、AA410aによる成功した認証を表すアサーションを受信できる。
図4Aについて続けて参照すると、430において、図示された実施形態により、第2のAA410bおよび第2のIdP409bは、第2の認証を実行する。第2の認証は、UE404のユーザの認証(例えば、ユーザの生体認証)、UE404の認証。ユーザ404のCAと関連付けられたデバイスの認証等を備えることができる。例えば、第2のチケットなどの、チケットは、認証が成功すると、432において、第2のIdP409bによって生成され得る。434において、図示された実施形態により、第2のチケットは、第2のAA410bに送信される。第2のIdP409bによって生成されるチケットは、セキュアな方法で第2のAA410bに送信され得る。あるいは、第2のチケットは、第2のIdP410bによって使用される第2のチケットを生成する同様の機構を使用して、第2のAA410bによって生成され得る。それにもかかわらず、第2の認証の終了時に、第2のAA410bと第2のIdP409bの両方は、第2の認証の証拠を有することができ、その証拠は、図4Aによる第2のチケットと呼ばれる。あるいは、例えば、ローカル認証が第2のAA410bによって実行されるのであれば、そのAA410bは、第2のチケットを生成できる。436において、第2のAA410bは、応答をUE404に、特にMFAP112に送信できる。その応答は、その第2のチケットを含むことができる。その応答は、例えば、ローカルリンク経由などの、第2のAA410bをUE404に接続する通信リンク経由で送信される。438において、ネットワーク側において、第2のIdP409bは、第2のチケットおよびそのチケットに関連付けられた新鮮度(例えば、認証が実行された時の日付/時間)を第1のIdP409aに送信できる。440と442において、第2のチケットはそれぞれ、UE404と第1のIdP409aに格納される。あるいは、例えば、ローカル認証が実行されると、実施形態により、第2のチケットは、MFAP112のみに格納される。
さらに図4Aを参照すると、444において、図示された実施形態により、第3のAA410cおよび第3のIdP409cは、第3の認証を実行する。第3の認証は、UE404のユーザの認証(例えば、ユーザの生体認証、ユーザの行動的特性)、UE404の認証、UE404のCAと関連付けられたデバイスの認証等を備えることができる。認証が成功すると、例えば、第3のチケットなどの、チケットは、446において、第3のIdP409cによって生成され得る。448において、図示された実施形態により、第3のチケットは、第3のAA410cに送信される。第3のIdP409cによって生成されるチケットは、セキュアな方法で第3のAA410cに送信され得る。あるいは、第3のチケットは、第3のIdP410cによって使用される第3のチケットを生成する同様の機構を使用して、第3のAA410cによって生成され得る。それにもかかわらず、第3の認証の終了時に、第3のAA410cと第3のIdP409cの両方は、第3の認証の証拠を有することができ、その証拠は、図4Aによる第3のチケットと呼ばれる。あるいは、例えば、ローカル認証が実行されると、例示的な実施形態により、第3のチケットは、第3のチケットが生成される第3のAA410cのみに格納されることが可能である。450において、第3のAA410cは、応答をUE404に、特にMFAP112に送信できる。その応答は、その第3のチケットを含むことができる。従って、MFAP112は、例えば、ローカルリンク経由で、AA410cによって成功した認証を表すアサーションを受信できる。その応答は、例えば、ローカルリンク経由などの、第3のAA410cをUE404に接続する通信リンク経由で送信される。452において、ネットワーク側において、第3のIdP409bは、第3のチケットおよびそのチケットに関連付けられた新鮮度(例えば、認証が実行された時の日付/時間)を第1のIdP409aに送信できる。あるいは、例えば、第3のAA410cが第3のチケットを生成したのであれば、そのチケットは、第3のIdP409cからマスターIdP409aに転送されないことが理解されよう。454および456において、第3のチケットはそれぞれ、UE404と第1のIdP409aに格納される。代替的実施形態において、第3のチケットは、UE404のMFAP112のみに格納され得る。
458において、UE404、例えば、UE404のCAは、第1、第2、および第3のチケットを第1のIdP409aに送信する。UE404はさらに、保証レベルおよび認証のそれぞれと関連付けられた新鮮度を第1のIdP409aに送信できる。460において、第1のIdP409aは、それがUE404から受信した第1、第2、および第3のチケットをそれぞれ、第1のIdP409aに格納されている第1、第2、および第3のチケットと比較する。例えば、第1のチケットが互いにマッチし、第2のチケットが互いにマッチし、そして第3のチケットが互いにマッチすると、第1のIdP409aは、図示された三要素認証を検証することができる。従って、462において、チケットが検証されると、第1のIdP409aは、三要素アサーションを作成し、その三要素アサーションをSP406に送信する。送信されるアサーションは、遂行された多要素認証によって実現された保証レベルおよび新鮮度レベルを含むことができる。SP406は、そのアサーションを検証して、UE404にリクエストしたサービスにアクセスさせることができる。あるいは、例えば、ローカル認証のみが実行されたのであれば、UE404のMFAP112は、チケットおよびアサーションを直接SP406に送信できる。
図4Bは、OID−GBAシステム400を使用する別の例を示す、別のフロー図である。図4Bにおいて、OID−GBAシステム400を使用して、二要素認証を提供する。三要素認証の代わりに二要素認証を描いているのに加え、図4Bはまた、以下で説明されるように、図4Aと比べて付加的な詳細も描いている。図示された実施形態により、ユーザ名および暗号値は、第1要素の認証の一部として取得され、そしてパスワードは、第2要素の認証のために取得される。例えば、モバイル端末であってよい、図示されたUE404は、CA(ブラウザエージェント)およびMFAP112を含む。図示された実施形態により、AA410bは、UICCによって実装され、そして第1のAA410aは、ユーザ入力を使用してUE404のユーザを認証する。
図4Bを参照すると、412において、UE404を使用するユーザは、OTT SP406によって提供されるサービスへのアクセスをリクエストする。図示された実施形態により、ユーザは、IdP/OP409aと関連付けられたユーザのアイデンティティを使用してアクセスをリクエストする。414において、SP406は、ユーザのアイデンティティに基づいて、IdP/OP/NAF409aの発見および関連付けを遂行する。416において、例えば、SP406のポリシーおよびユーザによってリクエストされたサービスに基づいて、SP406は、ユーザがリクエストしたサービスにアクセスするための適切な保証レベルを判定する。例えば、416において、SP406は、適切な保証レベルを実現するために、複数の認証要素が遂行されなければならないことを判定できる。418において、図示された実施形態により、UE404は、OpenID認証リクエストを経由する、OP409aまたはNAF409aと呼ぶこともできる、第1のIdP409aにリダイレクトされる。SP406はまた、その保証レベル要件をUE404に伝達することもできる。保証レベルは、MFAP112に格納され得る。419aにおいて、UE404は、HTTPS GetリクエストをOP409aに送信する。そのリクエストは、多要素認証が要求されているという表示を含む。419bにおいて、OP409aは、HTTPS応答をUE404に提供する。その応答は、UEのユーザを認証することができる認証エージェントの識別子に対するリクエストを含む。あるいは、例えば、識別子がユーザによって以前にSP406に提示されていたのであれば、前述のステップはスキップされる。ある場合には、419bにおいて、二次識別子は、ユーザまたはUE404によってIdP/OP/NAF409aに提供され得る。その応答はさらに、ユーザパスワードに対するリクエストを含むことができる。図示された実施形態により、ユーザを認証できるAAは、UE404にあるものとすることができる、第1のAA410aである。421において、UE404は、第1のAA410aの識別子、パスワードのダイジェスト、およびパスワードと関連付けられた新鮮度値を含むことができるHTTPS Getリクエストを提供する。あるいは、例えば、ローカル認証が実行されていれば、ユーザは、ユーザ名およびパスワードをUE404上のAA410aに提供できる。この場合、ステップ419から424までがスキップされる。422において、図4Bに示した図示された実施形態により、OP409aは、認証されているユーザに応答して第1のチケットを生成する。例えば、第1のチケットは、第1の要素認証が成功したことを示すことができる。424において、図示された実施形態により、成功した認証が実行された証拠を表す、第1のチケットは、UE404に送信される。あるいは、例えば、ローカル認証が実行されると、第1のチケットは、AA410aによって発行される。チケットは、その後、MFAP112に格納され、関連付けられた新鮮度またはタイムスタンプ情報もMFAP112によって格納され得る。424において、図4Bに示した図示された実施形態により、第2の認証要素を使用する第2の認証の識別子をリクエストするHTTPS応答メッセージを有する第1のチケットが送信される。第1のチケットは、それに関連付けられた新鮮度レベルを含むことができる。
さらに図4Bを参照すると、425において、MFAP112は、認証の第2の要素と関連付けられた識別子をIdP/OP/NAF409aに送信できる。その識別子は、UEアイデンティティ(ID)、生体ID、または第2の要素と関連付けられたその他のアイデンティティを表すことができる。あるいは、ローカル認証が実行されていれば、MFAP112は、第2のAA410bとして図示されている、適切なローカル認証エージェントを用いてローカル認証を開始する。427において、UE404のクライアントエージェントのアイデンティティは、第2のAA410bとして図示されている、認証エージェントにマップされる。このマッピングは、ユーザと関連付けられた適切なAAおよび425においてMFAPによって提供された第2の要素識別子を判定するデータベースクエリを遂行することによって達成され得る。429において、IdP/OP/NAF409aは、適切なAA410bを使用してGBA認証をトリガするために、プッシュメッセージを開始する。あるいは、プッシュメッセージは、UE404上のMFAP112に送信されことができ、MFAPは、その後、MFAP112とAA410bとの間のセキュアなトンネルリンクを設置できる(ステップ429b)。429bにおいて、UE404は、IdP/OP/NAF409aのURLを第2のAA410bに書き込むことができる。431において、第2のAA410bは、NAF409aを用いてGBA認証プロセスを開始する。433において、IdP/OP/NAF409aは、GBAチャレンジを第2のAA410bに発行する。435において、第2のAA410bブートストラッピングサーバ機能(BSF)411との間でGBAブートストラッピングが遂行される。437において、第2のAA410bは、ブートストラッピングアイデンティティを用いてチャレンジに応答する。439において、NAF409aは、BSF411を用いて鍵を読み出して、ユーザを認証する。
図4Bについて続けて参照すると、ひとたび成功した認証がAA410bによって実行されると、AA410bは、NonceAAとして図示されている、ノンス、およびセッションIDを生成する。NonceAAは、例えば、暗号鍵、デジタル署名、または一時的アイデンティティなどの、暗号値であってよい。一時的アイデンティティは、認証またはドメインと関連付けられることができる。例示的な一時的アイデンティティは、B−TID、ワンラウンドトリップ認証(ORTA)ID、拡張型マスターセッション鍵(MSK)名等を含む。セッションIDは、チャネルまたはフローまたはセッションを特定する固有のアイデンティティであってよい。例えば、セッションIDは、TLSチャネルID、HTTPセッションID、EAPセッションID等であってよい。443aにおいて、図示された実施形態により、AA410bは、HTTPセッション内でセッションIDとNonceAAをそれぞれ、「ユーザ名」フィールドと「パスワード」フィールドにコピーすることによって、セッションIDとNonceAAをUE404のCAに送信する。HTTPに加えて他のプロトコルが使用されてもよいし、その他のプロトコルは、ユーザ名およびパスワードを使用しなくてもよいことが理解されよう。従って、443bにおいて、NonceAAおよびパスワードは、第2のAA410bからCAに送信される。MFAP112は、第1のAA410aによって発行された第1のチケットを格納する。MFAP112は、AA410bによって発行されたNonceAAおよびセッションIDを格納できる。従って、第1の要素認証は、第1の要素認証と関連付けられたセッションIDにバインドされ、例えば、暗号化してバインドされ得る。例示的な実施形態において、認証の各要素、例えば、認証の各要素の結果として生じる各チケットは、多要素認証においてそれぞれのセッションIDにバインドされる。例えば、第1のチケットは、第1の要素認証を表すセッションアイデンティティ(ID)にバインドされることができ、第2のチケットは、第2の要素認証を表すセッションIDにバインドされることができ、第3のチケットは、第3の要素認証を表すセッションIDにバインドされることができる。445において、図示された実施形態により、MFAP112は、第1のチケットをIdP/OP/NAF409aに送信する。447において、IdP/OP/NAF409aは、UE404のユーザおよびCAを認証するために、チケット、NonceAA、およびセッションIDを検証する。例えば、IdP/OP/NAF409aは、チケットに基づいてNonceAAおよびセッションIDを生成することができ、そしてIdP/OP/NAFは、それがGBAプロセスの一部として取得したNonceAAおよびセッションIDを、生成されたNonceAAおよびセッションIDと比較できる。449および451において、ユーザ/CAが認証されると、IdP/OP/NAF409aは、HTTPリダイレクトメッセージを使用してアサーションをUE404経由でSP406に送信する。あるいは、例えば、ローカル認証のみが実行されたのであれば、MFAP112は、チケット、NonceAA、およびセッションIDをSP406に送信できる。他の場合では、すべての認証結果を組み合わせる組み合わせアサーションは、MFAP112によってSP406に送信される。組み合わせアサーションは、1つまたは複数のセッションアイデンティティ(ID)のそれぞれをまとめて暗号化してバインドできる。さらに、組み合わせアサーションは、その組み合わせアサーションに対応する保証レベルおよび新鮮度値を含むことができる。453において、SP406が受信するアサーションは、SP406によって検証される。例えば、アサーションが少なくとも、SP406の認証要件(例えば、保証レベル)を満たすならば、そのユーザは、リクエストしたサービスへのアクセスを許可される。
図4Cを参照すると、OID−GBAシステム400は、ブラウザエージェント(BA)405と呼ぶこともできる、クライアントエージェント(CA)405がUE404とは別個である、例示的な実施形態従って二要素認証を提供するために使用される。従って、図4Cに図示された呼フローは、例示的な分割端末の実装を表す、OID−GBAシステム400である。
さらに図4Cを参照すると、419aにおいて、開始HTTPSリクエストは、OpenIDリダイレクトの後に送信される。419bにおいて、HTTPS Unauthorized Responseは、CA405に送信される。420において、図示された実施形態により、ユーザは、(例えば、ユーザIDおよびパスワードを使用して)OP409aに対する第1の要素認証を進める。パスワードの許容できる新鮮度は、OP409aのポリシーによって対処され得る。例えば、OPポリシーは、どのくらい長くパスワードがブラウザ、例えば、CA405にキャッシュされるかを示すことができる。例示的な実施形態において、例えば、修正されたUICCなどの、信頼のある実行環境は、このようなポリシーを強制する。427において、第1の要素認証が成功すると、OP409aは、UE404、特にAA410aをCA405にマップする。422において、図示された実施形態により、OP409aは、ユーザの成功した認証を表す第1のチケットと呼ぶことができる、チケットを生成する。424において、第1のチケットは、CA405にフォワードされる。424において送信されるメッセージは、HTTPSによって保護され得る。429において、GBAは、メッセージによってトリガされる。431において、HTTPSリクエストは、GBA認証を始動する。433において、HTTPS GBAチャレンジは、UE404に送信される。437において、ブートストラッピングアイデンティティ(B−TID)を有するHTTPS GBAチャレンジResposeは、UE404、例えば、第1のAA410aからNAF/OP409aに送信される。439aにおいて、NAF/OP409aは、例えば、NonceNAFなどの、ノンスで応答する。441において、AA410aは、NonceNAFを使用して、パスワードを生成する。443aにおいて、図示された実施形態により、パスワードは、ローカルリンクを介してCA405にコピーされる。443aにおいて、第1のチケットは、ユーザ名にコピーされ、そしてローカルリンクを介して受信されたパスワードは、HTML形式にコピーされる。445において、承認ヘッダを有するHTTPゲットリクエスト(get request)は、IdP409aに送信される。IdP409aは、認証アサーションを有するリダイレクトを適切なSPに送信する。例示的な実施形態において、449においてそのメッセージが送信された後、UE404は、OpenIDプロトコルの実装を継続することができる。
図4Dは、例示的な実施形態により、ユーザ認証中に生成されるチケットがGBAプロセスを通じてループされる三要素認証のフロー図である。図4Dに示した図示された実施形態において遂行される多くのステップは、上記の図4Aに対して説明される。図4Dを参照すると、生成されるチケットは、MFAP112によって完了された認証の終了時に458において、IdP409aに提示される。しかし各認証要素の後にチケットを送信する代わりに、チケットは、図示されているように、三要素認証が完了した後に送信され得る。あるいは、認証要素のそれぞれが、例えば、UE404上でローカルに実行されると、MFAP112は、そのチケットおよびアサーションを直接SP406に送信できる。例示的な実施形態において、チケットのそれぞれがループされ、それによって3つの認証プロトコルのそれぞれがバインドされるために、第3のチケットは、三要素認証が完了した後に送信される。図4Eは、付加的な詳細が描かれている、図4Dに示した三要素認証のフロー図である。図4Fは、図4Dで描かれた例示的な呼フローの圧縮バージョンである。
図4Eを参照すると、図示された実施形態により、412から421におけるメッセージは、ユーザ認証が遂行される、図4Dに対して上述した対応するメッセージと実質的に同じである。ユーザ認証が遂行された後、422において、第1のチケットは、IdP/OP/NAF409aによって生成される。さらに、第2の要素認証は、MFAP112に送出される。425において、MFAP112は、第2の認証要素IDを用いてIdP/OP/NAF409aに応答する。第2の認証要素IDを使用して、427において、OP409aは、クライアントエージェントを第2のAA410bにマップする。ユーザ認証からのセッションまたはチャネルIDも第2のAA410bにマップされ得る。429aにおいて、IdP/OP/NAF409aは、GBA認証を始動するために、第2のAA410bを用いてGBA認証プロセスを開始する。IdP/OP/NAF409aによって第2のAA410bに送信されるメッセージの一部を、429aにおいて、422において実行された成功した第1の要素認証の一部として生成された第1のチケットにすることができる。あるいは、GBA認証トリガメッセージ(429bおよび429cを参照のこと)は、MFAP112によって開始されることができ、従って、第1のチケットは、429bまたは429cのメッセージの一部としてMFAP112から第2のAA410bに渡されることができる。
439において、図示された実施形態により、NAF鍵は、GBAプロセスの一部として得られ、そして第1のチケットは、GBA−専用鍵と呼ぶこともできる、NAF鍵にバインドされ得る。IdP/NAF409aは、BSF411からNAF鍵をGBAプロセスの一部として読み出す。441において、第2のAA410bは、任意のランダム値または暗号を表すことができる、NonceAAを生成し、GBAプロセスの一部として生成されたNAF鍵を使用してパスワードを生成する。第2のAA410bは、例えば、第2のAA410bをUE404と接続するローカルリンクを使用して、NonceAAおよびパスワードをUE404上のCAに送信する(443bを参照のこと)。443aにおいて、例えば、AA410bがUE404上にあったならば、NonceAAおよびパスワードは、ユーザによってCA上のHTTP形式のページにコピーされ得る。445において、NonceAAおよびパスワードは、IdP/OP/NAF409aに提示され得る。439において取得されたGBA NAF鍵を使用して、および第1のチケットから生成されたNonceAAおよびパスワードを使用して、IdP/NAF409aは、UE404のCAによって送信されたパスワードを検証する(447を参照のこと)。例えば、マッチが存在すれば、認証アサーションを包含するメッセージは、IdP/NAF/OP409aによってUE404に送信され、そしてメッセージは、SP406にリダイレクトされる(449および451を参照のこと)。ローカル認証のみが実行されたのであれば、例えば、MFAP112は、アサーションがIdP/NAF/OP409aに送信されずに、アサーションを直接SP406に送信できる。そのアサーションは、多要素認証に対応する保証および新鮮度レベル情報を包含するまたは示すことができる。
図4Fを参照すると、419aにおいて、開始HTTPSリクエストは、OpenIDリダイレクトの後に送信される。419bにおいて、HTTPS Unauthorized Resposeは、CA405に送信される。420において、図示された実施形態により、ユーザは、(例えば、ユーザIDおよびパスワードを使用して)OP409aに対する第1の要素認証を進める。パスワードの許容できる新鮮度は、OP409aのポリシーによって対処され得る。例えば、OPポリシーは、どのくらい長くパスワードがブラウザ、例えば、CA405にキャッシュされるかを示すことができる。例示的な実施形態において、例えば、修正されたUICCなどの、信頼のある実行環境は、このようなポリシーを強制する。427において、第1の要素認証が成功すると、OP409aは、UE404、特にAA410aをCA405にマップする。422において、図示された実施形態により、OP409aは、ユーザの成功した認証を表す第1のチケットと呼ぶことができる、チケットを生成する。上述のように、チケットという語は、本明細書で使用される際、ランダム値、暗号値、アサーション等を指す。例えば、チケットは、デジタル署名、暗号鍵、または一時的アイデンティティを表すことができる。424において、第1のチケットは、CA405にフォワードされる。424において送信されるメッセージは、HTTPSによって保護され得る。429において、GBAは、メッセージによってトリガされる。431において、HTTPSリクエストは、GBA認証を始動する。433において、HTTPS GBAチャレンジは、UE404に送信される。437において、ブートストラッピングアイデンティティ(B−TID)を有する第1のチケットを搬送するHTTPS GBAチャレンジResposeは、UE404、例えば、第1のAA410aからNAF/OP409aに送信される。さらに、437において、図4Fで示した図示された実施形態により、NAF/OP409aは、第1のチケットを受信して、第2の要素認証(例えば、UICCベースの認証)がステップ420から第1の要素認証(例えば、ユーザ認証)にバインドしていることを検証する。439aにおいて、NAF/OP409aは、例えば、NonceNAFなどの、ノンスで応答する。NonceNAFは、例えば、デジタル署名、暗号鍵、または一時的アイデンティティなどの、ランダムまたは暗号値であってよいことが認識されよう。441において、AA410aは、パスワードおよびNonceNAFを生成する。443aにおいて、図示された実施形態により、パスワードは、ローカルリンクを介してCA405にコピーされる。443aにおいて、第1のチケットは、ユーザ名にコピーされ、そしてローカルリンクを介して受信されたパスワードは、HTML形式にコピーされる。445において、承認ヘッダを有するHTTPゲットリクエスト(get request)は、IdP409aに送信される。IdP409aは、認証アサーションを有するリダイレクトを適切なSPに送信する。例示的な実施形態において、449においてそのメッセージが送信された後、UE404は、OpenIDプロトコルの実装を継続することができる。
図5Aは、例示的な実施形態により、新鮮な認証結果がアサートされるフロー図である。図5Aを参照すると、例示的な認証システム500aは、1つまたは複数の認証エージェント、例えば、第1のAA510aおよび第2のAA510b、CA504、SP506、マスターIdP508、およびMFAP112を含む。2つの認証エージェントが認証システム500に図示されているが、認証システム300の認証エージェントの数は、所望通りに変えてもよいことが理解されよう。図示された実施形態により、第1の認証エージェント510aと第2の認証エージェント510bはそれぞれ、第1のIdP509aと第2のIdP509bに関連付けられる。さらに、CA504がSP506によって提供されるサービスへのアクセスを提供することができるように、認証エージェント510aおよび510bとアイデンティティプロバイダ509aおよび509bは、二要素認証を可能にすることができる。SP506、マスターIdP508、第1のIdP509a、および第2のIdP509bをまとめて、ネットワーク側の認証システム500と呼ぶことができる。SP506を、限定されないが、信頼するパーティー(RP)506と呼ぶこともできる。例示的な二要素認証が図5Aに図示されているが、図5Aに示した呼フローは、3以上の要素を使用する認証に拡張され得ることが理解されよう。図示された実施形態により、SP506におけるポリシー、およびSP506によってCA504およびMFAP112に提供された結果として生じる要件は、第2の要素が新鮮であったので、再度実行される必要がなかったと見なす。例えば、第2の要素認証を実行する代わりに、以前の認証の結果を使用して、第2の要素が認証されていることをアサートする。第1の要素が古くなったと見なされた場合もあり、従って図示された実施形態により実行される。
さらに図5Aを参照すると、512において、ユーザリクエストは、CA504経由で(SP306によって提供される)サービスにアクセスする。CA504は、SP506と通信することができ、そしてその通信は、ユーザと関連付けられたユーザIDを含むことができる。ユーザIDに基づいて、514において、SP506は、ユーザIDと関連付けられたマスターIdP508の発見を遂行して関連付ける。マスターIdP508は、OpenIDアイデンティティProvider(OP)またはネットワークアクセス機能(NAF)と関連付けられた機能性を遂行することができ、従って、マスターIdP508をOP508またはNAF508と呼ぶこともできる。516において、図示された実施形態により、SP506は、例えば、SP506のポリシーに基づいて、SP506によって提供されるリクエストされたサービスにユーザがアクセスするために、多要素認証が要求されていることを判定する。SP506はまた、SP506によって提供されるリクエストされたサービスにユーザがアクセスするために要求される認証の保証のレベルを判定することもできる。518において、図示された実施形態により、SP506は、その認証レベル要件をCA504に伝達する。520において、CA504は、MFAP512のサービスを呼び出す。あるいは、SP506は、ユーザがSP506によって提供されるサービスにアクセスするために要求される保証レベルをIdP/OP/NAF508に伝達できる。IdP/OP/NAF508は、要求保証レベルに基づいて実行されなければならないであろう対応する認証要素を判定できる。CA504は、UE上のアプリケーションになり得る、MFAP112をトリガすることができる。例えば、そのアプリケーションは、例えば、Androidプラットフォームなどの、プラットフォームを有するインテントとしてトリガされ得る。CA504は、認証要素のリストをMFAP112に提供できる。
522において、サービスにアクセスするために要求される保証のレベルに基づいて、例えば、MFAP112は、要求された保証レベルを実現するために遂行することができる認証要素のタイプおよび強度を判定する。MFAP112はさらに、要求された認証を遂行することができる認証エージェントを特定できる。例えば、図示された実施形態により、MFAP112は、第1のAA510aおよび第2のAA510が認証要素の判定されたタイプおよび強度と関連付けられていることを判定する。第1の認証エージェント51aが特定された後、524において、MFAP112は、第1の認証エージェント510aが認証プロトコルを開始するように、トリガを第1の認証エージェント510aに送信する。526において、マスターIdP508は、第1の認証エージェント510aによって開始される認証プロトコルのコンテキストが作成されるプロセスをトリガする。例えば、マスターIdP508は、第1のAA510aと関連付けられた第1のIdP509aと通信して、第1のIdP309aが、第1のAAが開始した認証(the first AA-initiated authentication)のコンテキストを作成することをリクエストできる。524および526において遂行されるステップは、互いに並行して遂行され得る。
図5Aについて続けて参照すると、528において、図示された実施形態により、第1のAA510aおよび第1のIdP509aは、認証を実行する。その認証は、CA504のユーザの認証(例えば、ユーザの生体認証)、CA504の認証、CA304と関連付けられたデバイスの認証等を備えることができる。例えば、第1のチケットなどの、チケットは、認証が成功すると、第1のIdP509aによって生成され得る。図示された実施形態により、第1のチケットは、第1の認証エージェント510aに送信される。第1のIdP509aによって生成されるチケットは、セキュアな方法で第1のAA510aに送信され得る。あるいは、第1のチケットは、第1のIdP510bによって使用される第1のチケットを生成する同様の機構を使用して、第1のAA510aによって生成され得る。それにもかかわらず、認証の終了時に、第1のAA510aと第1のIdP509aの両方は、認証の証拠を有することができ、その証拠は、図5Aによる第1のチケットと呼ばれる。
530において、524において受信されたトリガに応答して、第1のAA510aは、第1のチケットを備えるトリガ応答を送信できる。トリガ応答は、MFAP112に送信されることができ、そしてトリガ応答は、成功した認証が遂行されたことを証明できる。532において、ネットワーク側において、第1のIdP309aは、第1のチケットおよびそのチケットに関連付けられた新鮮度(例えば、認証が実行された時の日付/時間)をマスターIdP308に送信できる。
534において、図示された例示的な実施形態により、例えば、ポリシーに基づいて、MFAP112は、第2の要素認証に対応する新鮮なチケットが使用可能であることを判定する。例えば、MFAP112は、チケット、例えば、第2のチケットの期限が満了しておらず、従って、第2の要素が認証されていることをアサートするために使用され得ることを判定できる。例えば、MFAPは、チケットのタイムスタンプを特定して、そのタイムスタンプがSPの要件を順守することを判定できる。従って、MFAP112は、第2のAA510bにコンタクトしない。536において、マスターIdP508は、第2の要素に対応する新鮮なチケット(例えば、第2のチケット)が使用可能であることを判定する。538において、MFAP112は、第1のチケットと第2のチケットを統合する。MFAPはさらに、CA504の集約が実現された保証レベルおよび新鮮度レベルを計算できる。540において、CA504は、第1および第2のチケットをマスターIdP508に提示できる(図5Bを参照のこと)。CA504はさらに、認証のそれぞれと関連付けられた実現された保証レベルおよび新鮮度をマスターIdP508に送信できる。あるいは、再度図5Aを参照すると、CA504は、チケットを直接SP506に提示できる。542において、マスターIdP508(またはSP506)は、そのマスターIdPがCA504から受信した第1および第2のチケットを、そのマスターIdPが以前に所有した第1および第2のチケットと比較する。544において、例えば、第1のチケットの両方が互いにマッチして、第2のチケットの両方が互いにマッチすれば、マスターIdP508(またはSP506)は、アサーションを作成する。そのアサーションは、SP506に送信される。送信されるアサーションは、遂行された多要素認証によって実現された保証レベルおよび新鮮度レベルを含むことができる。546において、図示された実施形態により、SP606は、アサーションを検証して、成功メッセージをCA504に提供し、それによってCA504およびCA504のユーザにSP506によって提供されるリクエストされたサービスへのアクセスを提供する。
あるいは、ある場合には、SP506によってリクエストされた保証レベルのみがMFAP112に提供される。従って、522において、MFAPは、要求された保証レベルを実現するために呼び出され得る要素および対応する認証エージェントを判定する。524において、図示された実施形態により、MFAP112は、第1の認証をトリガするために、ローカル認証を遂行する理由によりローカル要素AAと呼ぶことができる、第1のAA510aと通信する。例えば、AAがローカル要素AAであれば、そのAAは、ユーザとインタラクトしてユーザ名/パスワードを取得できる。さらに、ローカル要素AAは、ユーザに指紋リーダーを使用するように命令することができ、またはローカル要素AAは、ユーザの行動的特性を分析し、ユーザによって所有されたデバイスを認証する等ができる。あるいは、例えば、IdP509aのサービスを使用することによって、認証の一部をネットワーク側で実行できる。ローカル要素認証のシナリオにおいて、第1のチケットは、AA510aによって生成されて、MFAP112に送信される。あるいは、第1のチケットは、IdP509aによって生成されて、IdP/NAF/OP508に送信され得る。ひとたび第1の認証要素を使用する第1の認証が実行されると、図示された実施形態により、MFAP112は、古いと判定されていないタイムスタンプを用いて実行された既存の新鮮な第2の要素認証が存在するので、第2の要素を実行する必要がないことを判定する。530において取得された認証の第1の要素と関連付けられた第1のチケットに加え、538において、第2の要素と関連付けられた第2のチケットは、MFAP112によってリリースされる。540において、チケットと署名されたアサーションの両方は、(CA504経由で)MFAP112によってセキュアな方法でSP506にリリースされ得る。542において、チケットは、暗号手段を使用するSP506によって検証され、544においてアクセスがユーザに提供される。あるいは、540において、チケットは、CA504によってIdP/OP508に提示され得る。このような場合、IdP/NAF/OP508は、チケットを検証して、SP506によってIdP/NAF/OP508に送信されるアサーションを作成する。SP506は、署名されたアサーションを検証して、サービスへのアクセスを提供できる。
図5Bについても参照すると、例示的な実施形態により、複数の新鮮な認証結果は、例示的なシステム500bにおいてアサートされることができる。図5Bにおいて、SP506におけるポリシー、およびSP506によってCA504およびMFAP112に提供された結果として生じる要件は、実行された以前の認証(第1および第2の要素)およびMFAP112に格納された結果(第1および第2のチケット)は、506にとって十分に新鮮であると見なす。従って、その認証プロトコルは、実行されず、代わりに以前の認証要素の結果を使用して、認証をSP506にアサートする。
例えば、527において、図示された例示的な実施形態により、第1の要素認証がトリガされた後、第1のAA510aは、第1の要素認証に対応する新鮮なチケットが使用可能であることを判定する。例えば、第1のAA510aは、チケット、例えば、第1のチケットの期限が満了しておらず、従って、第1の要素が認証されていることをアサートするために使用され得ることを判定できる。529において、第1のIdP509aは、第1のチケットが新鮮であることを判定する。530において、第1のAA510aは、新鮮である、その第1のチケットを含む、トリガ応答を用いてトリガに応答する。従って、第1の新鮮なチケットは、MFAP112に送信される。532において、図示された実施形態により、第1のIdP509aは、第1の新鮮なチケットをマスターIdP508に送信する。523において、MFAP112は、第2の認証エージェント510bが認証プロトコルを開始することができるように、トリガを第2の認証エージェント510bに送信する。535において、マスターIdP508は、第2の認証エージェント510bによって開始されることができる認証プロトコルのコンテキストが作成されるプロセスをトリガする。533および535において遂行されるステップは、互いに並行して遂行され得る
図5Bについて続けて参照すると、537において、図示された実施形態により、第2のAA510bは、第2の要素認証に対応する新鮮なチケットが使用可能であることを判定する。例えば、第2のAA510bは、チケット、例えば、第2のチケットの期限が満了しておらず、従って、第2の要素が認証されていることをアサートするために使用され得ることを判定できる。539において、第2のIdP509bは、第2の要素に対応する新鮮なチケット(例えば、第2のチケット)が使用可能であることを判定する。541において、第2のAA510bは、(533における)認証トリガに応答して、第2のチケットをMFAP112に送信する。543において、第2のIdP509bは、(535における)認証トリガに応答して、新鮮である、第2のチケットをマスターIdP508に送信する。541において、MFAP112は、第1のチケットと第2のチケットを統合する。MFAPはさらに、CA504の集約が実現された保証レベルおよび新鮮度レベルを計算できる。540において、CA504は、第1および第2のチケットをマスターIdP508に提示する。CA504はさらに、認証のそれぞれと関連付けられた実現された保証レベルおよび新鮮度をマスターIdP508に送信する。542において、マスターIdP508は、そのマスターIdPがCA504から受信した第1および第2のチケットをそれぞれ、そのマスターIdPが第1および第2のIdPから受信しているチケットと比較する。544において、例えば、第1のチケットの両方が互いにマッチして、第2のチケットの両方が互いにマッチすれば、マスターIdP508は、アサーションを作成する。マスターIdP508は、そのアサーションをSP506に送信する。送信されるアサーションは、遂行された多要素認証によって実現された保証レベルおよび新鮮度レベルを含むことができる。546において、図示された実施形態により、SP606は、アサーションを検証して、成功メッセージをCA504に提供し、それによってCA504およびCA504のユーザにSP506によって提供されるリクエストされたサービスへのアクセスを提供する。
図6Aは、開示された1つまたは複数の実施形態を実装できる例示的な通信システム50の図である。通信システム50は、音声、データ、ビデオ、メッセージング、ブロードキャストなどのコンテンツを複数の無線ユーザに提供する、多元接続システムであってよい。通信システム50は、複数の無線ユーザが、無線帯域幅を含むシステムリソースの共有を通じてそのようなコンテンツにアクセスすることを可能にできる。例えば、通信システム50は、符号分割多元接続(CDMA)、時分割多元接続(TDMA)、周波数分割多元接続(FDMA)、直交FDMA(OFDMA)、シングルキャリアFDMA(SC−FDMA)などの、1つまたは複数のチャネルアクセス方法を用いることができる。
図6Aに示すように、通信システム50は、無線送信/受信ユニット(WTRU)52a、52b、52c、52d、無線アクセスネットワーク(RAN)54、コアネットワーク56、公衆交換電話網(PSTN)58、インターネット60、および他のネットワーク62を含むことができるが、開示された実施形態は、任意の数のWTRU、基地局、ネットワーク、および/またはネットワーク要素を企図することが認識されよう。WTRU52a、52b、52c、52dのそれぞれは、無線環境で動作するおよび/または通信するように構成された任意のタイプのデバイスであってよい。例として、WTRU52a、52b、52c、52dは、無線信号を送信および/または受信するように構成されてもよく、ユーザ機器(UE)、移動局、固定式または移動式加入者ユニット、ページャ、セルラー電話、携帯情報端末(PDA)、スマートフォン、ラップトップ、ネットブック、パーソナルコンピュータ、無線センサ、家電製品などを含むことができる。
通信システム50はまた、基地局64aと基地局64bを含むこともできる。基地局64a、64bのそれぞれは、WTRU52a、52b、52c、52dのうちの少なくとも1つとワイヤレスにインタフェースして、コアネットワーク56、インターネット60、および/またはネットワーク62などの、1つまたは複数の通信ネットワークへのアクセスを容易にするように構成された任意のタイプのデバイスであってよい。例として、基地局64a、64bは、ベーストランシーバ基地局(BTS)、ノードB、eノードB、ホームノードB、ホームeノードB、サイトコントローラ、アクセスポイント(AP)、無線ルータなどであってよい。基地局64a、64bはそれぞれ、単一要素として描かれているが、基地局64a、64bは、相互接続された任意の数の基地局および/またはネットワーク要素を含むことができることが認識されよう。
基地局64aは、基地局コントローラ(BSC)、無線ネットワークコントローラ(RNC)、中継ノードなどの、他の基地局および/またはネットワーク要素(図示せず)を含むこともできる、RAN54の一部にすることができる。基地局64aおよび/または基地局64bは、セル(図示せず)と呼ばれてもよい、特定の地理的領域内で無線信号を送信および/または受信するように構成され得る。セルは、セルセクタにさらに分割され得る。例えば、基地局64aと関連付けられたセルを3つのセクタに分割できる。従って、一実施形態において、基地局64aは、3つのトランシーバ、即ち、セルの各セクタに1トランシーバを含むことができる。実施形態において、基地局64aは、MIMO(multiple-input multiple output)テクノロジーを用いることができ、従って、セルの各セクタに複数のトランシーバを利用できる。
基地局64a、64bは、適した任意の無線通信リンク(例えば、無線周波数(RF)、マイクロ波、赤外線(IR)、紫外線(UV)、可視光線など)であってよい、エアインタフェース66を介してWTRU52a、52b、52c、52dのうちの1または複数と通信できる。エアインタフェース66は、適した任意の無線アクセステクノロジー(RAT)を使用して確立できる。
より詳細には、上述のように、通信システム50は、多元接続システムであってよく、CDMA、TDMA、FDMA、OFDMA、SC−FDMAなどの、1つまたは複数のチャネルアクセススキームを用いることができる。例えば、RAN54内の基地局64aおよびWTRU52a、52b、52cは、WCDMA(登録商標)(広域帯CDM)を使用してエアインタフェース816を確立できる、UTRA(ユニバーサル移動体通信システム(UMTS)地上波無線アクセス)などの無線テクノロジーを実装できる。WCDMAは、高速パケットアクセス(HSPA)および/または発展型HSPA(HSPA+)などの通信プロトコルを含むことができる。HSPAは、高速ダウンリンクパケットアクセス(HSDPA)および/または高速アップリンクパケットアクセス(HSUPA)を含むことができる。
実施形態において、基地局64aおよびWTRU52a、52b、52cは、LTE(ロングタームエボリューション)および/またはLTE−A(LTEアドバンスト)を使用してエアインタフェース66を確立できる、E−UTRA(発展型UMTS地上波無線アクセス)などの無線テクノロジーを実装できる。
他の実施形態において、基地局64aおよびWTRU52a、52b、52cは、IEEE802.16(即ち、WiMAX(Worldwide Interoperability for Microwave Access)、CDMA2000、CDMA20001X、CDMA2000EV−DO、IS−2000(Interim Standard 2000)、IS−95(Interim Standard 95)、IS−856(Interim Standard 856)、GSM(登録商標)(Global System for Mobile communications)、EDGE(Enhanced Data rates for GSM Evolution)、GERAN(GSM EDGE)などの無線テクノロジーを実装できる。
図6Aの基地局64bは、例えば、無線ルータ、ホームノードB、ホームeノードB、フェムト基地局、またはアクセスポイントであってよく、職場、住居、車、キャンパスなどの、ローカルエリアで無線接続性を容易にするために適した任意のRATを利用できる。実施形態において、基地局64bおよびWTRU52c、52dは、無線ローカルエリアネットワーク(WLAN)を確立するIEEE802.11などの、無線テクノロジーを実装できる。実施形態において、基地局64bおよびWTRU52c、52dは、無線パーソナルエリアネットワーク(WPAN)を確立するIEEE802.15などの、無線テクノロジーを実装できる。さらなる実施形態において、基地局64bおよびWTRU52c、52dは、セルベースのRAT(例えば、WCDMA、CDMA2000、GSM、LTE、LTE−Aなど)を利用して、ピコセルまたはフェムトセルを確立できる。図6Aに示すように、基地局64bは、インターネット60に直接接続できる。従って、基地局64bは、コアネットワーク56経由でインターネット60へのアクセスを要求されない。
RAN54は、音声、データ、アプリケーション、および/またはVoIP(ボイスオーバーインターネットプロトコル)サービスをWTRU52a、52b、52c、52dのうち1または複数に提供するように構成された任意のタイプのネットワークであってよい、コアネットワーク56と通信できる。例えば、コアネットワーク56は、呼制御、課金サービス、モバイル位置情報に基づくサービス、プリペイド電話、インターネット接続性、ビデオ分散などを提供でき、および/またはユーザ認証などのハイレベルのセキュリティ機能を遂行できる。図6Aに示していないが、RAN54および/またはコアネットワーク56は、RAN54と同じRATまたは異なるRATを用いる、他のRATとの直接または間接通信であってよいことが認識されよう。例えば、E−UTRA無線テクノロジーを利用できるRAN54に接続されることに加えて、コアネットワーク56はまた、GSM無線テクノロジーを用いた別のRAN(図示せず)と通信することもできる。
コアネットワーク56はまた、WTRU52a、52b、52c、52dがPSTN58、インターネット60、および/または他のネットワーク62にアクセスするためのゲートウェイとして機能することもできる。PSTN58は、旧来の音声電話サービス(POST)を提供する回線交換電話網を含むことができる。インターネット60は、TCP/IPインターネットプロトコルスイートにおける伝送制御プロトコル(TCP)、ユーザデータグラムプロトコル(UDP)およびインターネットプロトコル(IP)などの、共通の通信プロトコルを使用して相互接続されたコンピュータネットワークおよびデバイスのグローバルシステムを含むことができる。ネットワーク62は、他のサービスプロバイダによって所有および/または運用される有線または無線通信ネットワークを含むことができる。例えば、ネットワーク62は、RAN54と同じRATまたは異なるRATを用いることができる、1つまたは複数のRANに接続された別のコアネットワークを含むことができる。
通信システム800内のWTRU52a、52b、52c、52dの一部またはすべては、マルチモード能力を含むことができる。即ち、WTRU52a、52b、52c、52dは、異なる無線リンクを介して異なる無線ネットワークと通信する複数のトランシーバを含むことができる。例えば、図6Aに示したWTRU52cは、セルベースの無線テクノロジーを用いることができる基地局64aと、IEEE802無線テクノロジーを用いることができる基地局64bとの通信を行うように構成され得る。
図6Bは、例示的なWTRU52のシステム図である。図6Bに示すように、WTRU52は、プロセッサ68、トランシーバ70、送信/受信要素72、スピーカ/マイクロフォン74、キーパッド76、ディスプレイ/タッチパッド78、ノンリムーバブルメモリ80、リムーバブルメモリ82、電源84、全地球測位システム(GPS)チップセット86、および他の周辺機器88を含むことができる。WTRU52は、実施形態と整合性を保った上で、上述の要素の任意の組み合わせを含むことができることが認識されよう。
プロセッサ68は、汎用プロセッサ、専用プロセッサ、従来型プロセッサ、デジタル信号プロセッサ(DSP)、複数のマイクロプロセッサ、DSPコアと連動する1つまたは複数のマイクロプロセッサ、コントローラ、マイクロコントローラ、特定用途向け集積回路(ASIC)、現場プログラム可能ゲートアレイ(FPGA)回路、その他のタイプの集積回路(IC)、ステートマシンなどであってよい。プロセッサ68は、信号コーディング、データ処理、電力制御、入力/出力処理、および/またはWTRU52が無線環境で動作可能にさせるその他の機能性を遂行できる。プロセッサ68は、送信/受信要素72に結合され得る、トランシーバ70に結合され得る。図6Bは、プロセッサ68とトランシーバ70とを個別のコンポーネントとして示しているが、プロセッサ68とトランシーバ70とを電子パッケージまたはチップ内にまとめることができることが認識されよう。プロセッサ68は、アプリケーションレイヤプログラム(例えば、ブラウザ)および/または無線アクセスレイヤ(RAN)プログラムおよび/または通信を遂行できる。プロセッサ68は、例えば、アクセスレイヤおよび/またはアプリケーションレイヤにおけるような、認証、セキュリティ鍵同意、および/または暗号化動作などの、セキュリティ動作を遂行できる。
送信/受信要素72は、エアインタフェース66を介して基地局(例えば、基地局64a)に信号を送信する、または基地局から信号を受信するように構成され得る。例えば、実施形態において、送信/受信要素72は、RF信号を送信および/または受信するように構成されたアンテナであってよい。実施形態において、送信/受信要素72は、例えば、IR、UV、または可視光線信号を送信および/または受信するように構成されたエミッタ/検出器であってよい。さらなる実施形態において、送信/受信要素72は、RF信号と光信号との両方を送受信するように構成され得る。送信/受信要素72は、無線信号の任意の組み合わせを送信および/または受信するように構成され得ることが認識されよう。
さらに、送信/受信要素72を単一要素として図6Bに示しているが、WTRU52は、任意の数の送信/受信要素72を含むことができる。より詳細には、WTRU52は、MIMOテクノロジーを用いることができる。従って、実施形態において、WTRU52は、エアインタフェース66を介して無線信号を送受信する2または3以上の送信/受信要素72(例えば、複数のアンテナ)を含むことができる。
トランシーバ70は、送信/受信要素72によって送信される信号を変調して、送信/受信要素72によって受信された信号を復調するように構成され得る。上述のように、WTRU52は、マルチモード能力を有することができる、従って、トランシーバ70は、WTRU52が、例えば、UTRAおよびIEEE802.11などの、複数のRAT経由で通信することを可能にする複数のトランシーバを含むことができる。
WTRU52のプロセッサ68は、スピーカ/マイクロフォン74、キーパッド76、および/またはディスプレイ/タッチパッド78(例えば、液晶ディスプレイ(LCD)表示ユニットまたは有機発光ダイオード(OLED)表示ユニット)に結合されて、それらからユーザ入力データを受信できる。プロセッサ68はまた、スピーカ/マイクロフォン74、キーパッド76、および/またはディスプレイ/タッチパッド78にユーザデータを出力することもできる。さらに、プロセッサ818は、ノンリムーバブルメモリ80および/またはリムーバブルメモリ82などの、適した任意のタイプのメモリからの情報にアクセスして、それらのメモリにデータを記憶できる。ノンリムーバブルメモリ80は、ランダムアクセスメモリ(RAM)、リードオンリーメモリ(ROM)、ハードディスク、またはその他のタイプのメモリ記憶デバイスを含むことができる。リムーバブルメモリ82は、契約者識別モジュール(SIM)カード、メモリスティック、セキュアデジタル(SD)メモリカードなどを含むことができる。他の実施形態において、プロセッサ818は、サーバまたはホームコンピュータ(図示せず)などの、物理的にWTRU52に配置されていないメモリからの情報にアクセスして、それらのメモリにデータを記憶できる。
プロセッサ68は、電源84から電力を受け取ることができ、その電力をWTRU52内の他のコンポーネントに分散および/または制御するように構成され得る。電源84は、WTRU52に電力供給するのに適した任意のデバイスであってよい。例えば、電源84は、1つまたは複数の乾電池(例えば、ニッケルカドミウム(NiCd)、ニッケル亜鉛(NiZn)、ニッケル水素(NiMH)、リチウムイオン(Li−ion)など)、太陽電池、燃料電池などを含むことができる。
プロセッサ68はまた、GPSチップセット86を、WTRU52の現在の位置に関する位置情報(例えば、経緯度)を提供するように構成され得る、GPSチップセット86にも結合され得る。追加または代替として、GPSチップセット86からの情報により、WTRU52は、基地局(例えば、基地局64a、64b)からエアインタフェース816を介して位置情報を受信し、および/または2または3以上の近隣の基地局から受信される信号のタイミングに基づいてWTRUの位置を判定できる。WTRU52は、実施形態と整合性を保った上で、適した任意の位置判定方法によって位置情報を獲得できることが認識されよう。
プロセッサ68は、付加的な特徴、機能性および/または有線または無線接続性を提供する、1つまたは複数のソフトウェアモジュールおよび/またはハードウェアモジュールを含むことができる、他の周辺機器88にさらに結合され得る。例えば、周辺機器88は、加速度計、電子コンパス、衛星トランシーバ、デジタルカメラ(写真またはビデオ用)、ユニバーサルシリアルバス(USB)ポート、振動デバイス、テレビトランシーバ、ハンズフリーヘッドセット、Bluetooth(登録商標)モジュール、周波数変調(FM)無線ユニット、デジタル音楽プレーヤ、メディアプレーヤ、ビデオゲームプレーヤモジュール、インターネットブラウザなどを含むことができる。
図6Cは、実施形態に従うRAN54およびコアネットワーク806のシステム図である。上述のように、RAN54は、UTRA無線テクノロジーを用いて、エアインタフェース66を介してWTRU52a、52b、52cと通信できる。RAN54はさらに、コアネットワーク806とも通信できる。図6Cに示すように、RAN54は、エアインタフェース66を介してWTRU52a、52b、52cと通信するための1つまたは複数のトランシーバを含むことができる、ノードB90a、90b、90cを含むことができる。ノードB90a、90b、90cのそれぞれをRAN54内の特定のセル(図示せず)と関連付けることができる。RAN54はさらに、RNC92a、92bを含むこともできる。RAN54は、実施形態と整合性を保った上で、任意の数のノードBおよびRNCを含むことができることが認識されよう。
図6Cに示すように、ノードB90a、90bは、RNC92aと通信できる。あるいは、ノードB90cは、RNC92bと通信できる。ノードB90a、90b、90cは、Iubインタフェース経由でそれぞれRNC92a、92bと通信できる。RNC92a、92bは、Iurインタフェース経由で互いに通信できる。92a、92bのそれぞれは、接続されているノードB90a、90b、90cのそれぞれを制御するように構成され得る。さらに、RNC92a、92bのそれぞれは、外ループ電力制御、読み込み制御、許可制御、パケットスケジューリング、ハンドオーバー制御、マクロダイバーシティ、セキュリティ関数、データ暗号化などの、他の機能性を実行するおよび/またはサポートするように構成され得る。
図6Cに示したコアネットワーク806は、メディアゲートウェイ(MGW)844、モバイル交換センター(MSC)96、サービングGPRSサポートノード(SGSN)98、および/またはゲートウェイGPRSサポートノード(GGSN)99を含むことができる。上述した要素のそれぞれをコアネットワーク56の一部として示しているが、これらの要素のいずれも、コアネットワーク通信業者以外のエンティティによって所有および/または運用可能であることが認識されよう。
RAN54内のRNC92aをIuCSインタフェース経由でコアネットワーク56内のMSC96に接続できる。MSC96をMGW94に接続できる。MSC96およびMGW94は、WTRU52a、52b、52cにPSTN58などの回路交換ネットワークへのアクセスを提供して、WTRU52a、52b、52cと従来の固定電話回線による通信デバイスとの間の通信を容易にすることができる。
RAN54内のRNC92aはまた、IuPSインタフェース経由でコアネットワーク806内のSGSN98にも接続され得る。SGSN98をGCSN99に接続できる。SGSN98およびGCSN99は、WTRU52a、52b、52cにインターネット60などの、パケット交換ネットワークへのアクセスを提供して、WTRU52a、52b、52cとIP対応(IP-enabled)デバイスとの間の通信を容易にすることができる。
上述のように、コアネットワーク56はまた、他のサービスプロバイダによって所有および/または運用される他の有線または無線ネットワークを含むことができる、ネットワーク62にも接続され得る。
特定の組み合わせにおいて特徴および要素を上述しているが、各特徴または要素は、単独で、または他の特徴および要素との任意の組み合わせにおいて使用されることができる。さらに、本明細書で説明される実施形態は、例示目的としてのみ提供される。例えば、実施形態は、OpenIDおよび/またはSSO認証エンティティおよび機能を使用して説明され得るが、他の認証エンティティおよび機能を使用して同様の実施形態が実装され得る。さらに、本明細書で説明される実施形態は、コンピュータまたはプロセッサによって実行するためのコンピュータ可読媒体に組み込まれるコンピュータプログラム、ソフトウェア、またはファームウェアに実装され得る。コンピュータ可読媒体の例は、(有線および/または無線接続を介して送信される)電子信号および/またはコンピュータ可読記憶媒体を含む。コンピュータ可読記憶媒体の例は、限定されるわけではないが、リードオンリーメモリ(ROM)、ランダムアクセスメモリ(RAM)、レジスタ、キャッシュメモリ、半導体メモリデバイス、内部ハードディスクおよびリムーバブルディスクなどの磁気媒体、光磁気媒体、およびCD−ROMディスク、およびデジタル多用途ディスク(DVD)などの光媒体を含む。ソフトウェアと連動するプロセッサを使用して、WTRU、UE、端末機、基地局、RNC、および/または任意のホストコンピュータで使用するための無線周波数トランシーバを実装することができる。

Claims (20)

  1. 多要素認証プロキシ(MFAP)を備えたユーザ機器(UE)であって、前記MFAPは、
    サービスプロバイダ(SP)によって提供されるサービスにアクセスするために、複数の認証要素が前記UEのユーザを認証するために要求されていることを判定し、
    前記要求された認証要素のうちの1つを利用して、認証を遂行するために、前記UEとは異なるデバイス上の認証エージェント(AA)を特定し、
    前記異なるデバイスへのローカルリンクを確立し、
    前記認証を遂行するように前記AAをトリガして
    前記ローカルリンクを介して、前記AAによる成功した認証を表すアサーションを受信する、
    ように動作する、UE。
  2. 前記MFAPは、前記要求された認証要素のうちの少なくとももう1つを利用して、認証を遂行するために、前記UEの1つまたは複数の付加的な認証エージェントを特定する、ようにさらに動作する、請求項1に記載のUE。
  3. 前記MFAPは、前記要求された認証要素のうちの少なくとももう1つを利用する認証を遂行するために、前記UEとは異なる第2のデバイス上の1つまたは複数の付加的な認証エージェントを特定する、ようにさらに動作し、前記MFAPは、ローカルリンクまたはリモートリンクを介して、前記1つまたは複数の付加的な認証エージェントと通信する、請求項1に記載のUE。
  4. 前記MFAPは、前記SPへ直接、成功した認証を表す前記アサーションを送信する、ようにさらに動作する、請求項1に記載のUE。
  5. 第1のユーザ機器(UE)と、サービスプロバイダ(SP)と、多要素認証プロキシ(MFAP)とを備えたシステムにおいて前記MFAPにより実行される方法であって、
    前記SPのポリシーに基づいて、前記第1のUEのユーザが前記SPによって提供されるサービスにアクセスするために、多要素認証が要求されていることを判定することと、
    第1の要素認証を遂行するために、第1の認証エージェントを特定することと、
    第1のチケットが生じる前記第1の要素認証をトリガすることと、
    第2の要素認証を遂行するために、第2の認証エージェントを特定することと、
    第2のチケットが生じる記第2の要素認証をトリガすることと、
    前記第1のUEの第1のクライアントエージェントへ、前記第1のチケットおよび前記第2のチケットを送信することであり、前記第1のUEが前記SPによって提供される前記サービスにアクセスすることを可能にすることと、
    を備える、方法。
  6. 前記第1のUEの前記ユーザは、前記第1のクライアントエージェントの認証を活用することにより、第2のクライアントエージェントへ移行する、請求項6に記載の方法。
  7. 前記第2のクライアントエージェントは、前記第1のUEまたは前記第1のUEと異なる第2のUE上に存在する、請求項6に記載の方法。
  8. 前記第1のチケットは、前記第1の要素認証を表すセッションアイデンティティにバインドされる、請求項5に記載の方法。
  9. 前記MFAPは前記第1のUE上にある、請求項5に記載の方法。
  10. 前記MFAPは、ローカルリンクまたはリモートリンクを介して、第2のUEの第2のクライアントエージェントと通信する、請求項9に記載の方法。
  11. 前記MFAPは第2のUE上に存在し、前記MFAPは、ローカルリンクまたはリモートリンクを介して前記第1のUEの前記第1のクライアントエージェントと通信する、請求項5に記載の方法。
  12. 前記第1のチケットおよび前記第2のチケットはそれぞれ、デジタル署名、暗号値、ランダム値、または一時的アイデンティティのうちの少なくとも1つを備える、請求項5に記載の方法。
  13. 前記第1の認証エージェントおよび前記第2の認証エージェントの少なくとも1つは、第2のUE上に存在する、請求項5に記載の方法。
  14. 前記SPの前記ポリシーは前記多要素認証の要求される保証レベルを備え、前記第1の認証エージェント及び前記第2の認証エージェントは、前記多要素認証の前記要求される保証レベルに基づいて、特定される、請求項5に記載の方法。
  15. 前記第1のチケットの保証レベルおよび前記第2のチケットの保証レベルに基づき、集約保証レベルを判定すること、をさらに備える、請求項5に記載の方法。
  16. 第3の要素認証を遂行ために、第3の要素認証エージェントを特定することと、
    第3のチケットが生じる前記第3の要素認証をトリガすることと、
    をさらに備える、請求項5に記載の方法。
  17. 前記第1の認証エージェントおよび前記第2の認証エージェントはそれぞれ第1のアイデンティティプロバイダおよび第2のアイデンティティプロバイダと関連付けられている、請求項5に記載の方法。
  18. 通信ネットワークにおけるユーザ装置(UE)であって、
    実行可能なメモリと、
    実行可能命令を実行すると、
    サービスプロバイダ(SP)によって提供されるサービスにアクセスするために、複数の認証要素が前記UEのユーザを認証するために要求されていることを判定することと、
    前記要求された認証要素のうちの1つを利用して、認証を遂行するために、前記UEとは異なるデバイス上の認証エージェント(AA)を特定することと、
    前記異なるデバイスへのローカルリンクを確立することと、
    前記認証を遂行するように前記AAをトリガすることと、
    前記ローカルリンクを介して、前記AAによる成功した認証を表すアサーションを受信することと
    を実行するプロセッサと、
    を備えた、UE。
  19. 前記プロセッサは、前記要求された認証要素のうちの少なくとももう1つを利用して、認証を遂行するために、前記UE上の1つまたは複数の付加的な認証エージェントを特定することをさらに実行する、請求項18に記載のUE。
  20. 前記プロセッサは、前記要求された認証要素のうちの少なくとももう1つを利用する認証を遂行するために、前記UEとは異なる第2のデバイスの1つまたは複数の付加的な認証エージェントを特定することをさらに実行する、請求項18に記載のUE。
JP2016505564A 2013-03-27 2014-03-27 複数のエンティティにまたがるシームレスな認証 Pending JP2016519367A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201361805851P 2013-03-27 2013-03-27
US61/805,851 2013-03-27
PCT/US2014/031998 WO2014160853A1 (en) 2013-03-27 2014-03-27 Seamless authentication across multiple entities

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2018011690A Division JP2018092645A (ja) 2013-03-27 2018-01-26 複数のエンティティにまたがるシームレスな認証

Publications (1)

Publication Number Publication Date
JP2016519367A true JP2016519367A (ja) 2016-06-30

Family

ID=50625201

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2016505564A Pending JP2016519367A (ja) 2013-03-27 2014-03-27 複数のエンティティにまたがるシームレスな認証
JP2018011690A Pending JP2018092645A (ja) 2013-03-27 2018-01-26 複数のエンティティにまたがるシームレスな認証

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2018011690A Pending JP2018092645A (ja) 2013-03-27 2018-01-26 複数のエンティティにまたがるシームレスな認証

Country Status (5)

Country Link
US (1) US20160050234A1 (ja)
EP (1) EP2979426A1 (ja)
JP (2) JP2016519367A (ja)
TW (1) TW201515484A (ja)
WO (1) WO2014160853A1 (ja)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160012216A1 (en) * 2014-04-10 2016-01-14 Sequitur Labs Inc. System for policy-managed secure authentication and secure authorization
WO2016040744A1 (en) * 2014-09-12 2016-03-17 Id. Me, Inc. Systems and methods for online third-party authentication of credentials
US9497573B2 (en) * 2015-02-03 2016-11-15 Qualcomm Incorporated Security protocols for unified near field communication infrastructures
US11171941B2 (en) 2015-02-24 2021-11-09 Nelson A. Cicchitto Mobile device enabled desktop tethered and tetherless authentication
US11122034B2 (en) 2015-02-24 2021-09-14 Nelson A. Cicchitto Method and apparatus for an identity assurance score with ties to an ID-less and password-less authentication system
US9686272B2 (en) * 2015-02-24 2017-06-20 Go Daddy Operating Company, LLC Multi factor user authentication on multiple devices
US9779230B2 (en) * 2015-09-11 2017-10-03 Dell Products, Lp System and method for off-host abstraction of multifactor authentication
US10305891B2 (en) * 2016-05-12 2019-05-28 Bank Of America Corporation Preventing unauthorized access to secured information systems using multi-device authentication techniques
US10446157B2 (en) 2016-12-19 2019-10-15 Bank Of America Corporation Synthesized voice authentication engine
US10049673B2 (en) * 2016-12-19 2018-08-14 Bank Of America Corporation Synthesized voice authentication engine
US10873583B2 (en) * 2017-09-20 2020-12-22 Microsoft Technology Licensing, Llc Extensible framework for authentication
US11151239B2 (en) 2017-10-02 2021-10-19 Red Hat, Inc. Single sign-on management for multiple independent identity providers
US10609082B2 (en) 2017-11-10 2020-03-31 Microsoft Technology Licensing, Llc Identity experience framework
US11997077B2 (en) 2017-11-10 2024-05-28 Microsoft Technology Licensing, Llc Identity experience framework
KR102026375B1 (ko) * 2017-12-18 2019-09-27 부산대학교 산학협력단 웨어러블 디바이스 통신 지원 장치 및 방법
US10798083B2 (en) 2018-02-19 2020-10-06 Red Hat, Inc. Synchronization of multiple independent identity providers in relation to single sign-on management
US10063542B1 (en) 2018-03-16 2018-08-28 Fmr Llc Systems and methods for simultaneous voice and sound multifactor authentication
US11159674B2 (en) 2019-06-06 2021-10-26 International Business Machines Corporation Multi-factor authentication of caller identification (ID) identifiers
US11336682B2 (en) 2019-07-09 2022-05-17 Nice Ltd. System and method for generating and implementing a real-time multi-factor authentication policy across multiple channels
GB2589145A (en) * 2019-11-25 2021-05-26 Istorage Ltd Protected portable media storage
US11695768B1 (en) * 2021-02-09 2023-07-04 Wells Fargo Bank, N.A. Systems and methods for locally conducting delegated authentication at edge nodes
US12095753B2 (en) 2021-04-08 2024-09-17 Akamai Technologies, Inc. End-to-end verifiable multi-factor authentication service
US20230015789A1 (en) * 2021-07-08 2023-01-19 Vmware, Inc. Aggregation of user authorizations from different providers in a hybrid cloud environment
US20230308432A1 (en) * 2022-03-23 2023-09-28 International Business Machines Corporation Authenticating and authorizing api calls with multiple factors
US12072960B2 (en) * 2022-05-31 2024-08-27 Lenovo (Singapore) Pte. Ltd. Dynamic multifactor authentication using low-power and high-power monitoring
US20240064628A1 (en) * 2022-08-22 2024-02-22 Plume Design, Inc. Selecting and controlling base stations for Wi-Fi access points with cellular connection

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006512648A (ja) * 2002-12-31 2006-04-13 インターナショナル・ビジネス・マシーンズ・コーポレーション ユーザ・セッションを管理するための方法、データ処理システム、およびコンピュータ・プログラム(異機種連合化環境における統合サインオフのための方法およびシステム)
WO2007066480A1 (ja) * 2005-12-07 2007-06-14 Sharp Kabushiki Kaisha 認証装置、そのプログラムおよび記録媒体
JP2010225078A (ja) * 2009-03-25 2010-10-07 Nec Corp 認証方法及びその認証システム並びにその認証処理プログラム
WO2012149384A1 (en) * 2011-04-28 2012-11-01 Interdigital Patent Holdings, Inc. Sso framework for multiple sso technologies
US20130036462A1 (en) * 2011-08-02 2013-02-07 Qualcomm Incorporated Method and apparatus for using a multi-factor password or a dynamic password for enhanced security on a device

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8245292B2 (en) * 2005-11-16 2012-08-14 Broadcom Corporation Multi-factor authentication using a smartcard
CN101366037A (zh) * 2005-12-05 2009-02-11 诺基亚公司 在移动终端中用于安全http摘要响应验证以及完整性保护的计算机程序产品、装置以及方法
JP2009020742A (ja) * 2007-07-12 2009-01-29 Ricoh Co Ltd 追加機能提供プログラム、追加機能提供方法及び情報処理装置
WO2011091313A1 (en) * 2010-01-22 2011-07-28 Interdigital Patent Holdings, Inc. Method and apparatus for trusted federated identity management and data access authorization
US8756650B2 (en) * 2010-03-15 2014-06-17 Broadcom Corporation Dynamic authentication of a user
WO2011128183A2 (en) * 2010-04-13 2011-10-20 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for interworking with single sign-on authentication architecture
US8966600B2 (en) * 2010-12-22 2015-02-24 Intel Corporation Method, apparatus and system for controlling access to computer platform resources
JP2012212211A (ja) * 2011-03-30 2012-11-01 Hitachi Ltd 認証連携システム、および、認証連携方法
US20130275282A1 (en) * 2012-04-17 2013-10-17 Microsoft Corporation Anonymous billing
US20150319156A1 (en) * 2012-12-12 2015-11-05 Interdigital Patent Holdings Inc. Independent identity management systems
US8806205B2 (en) * 2012-12-27 2014-08-12 Motorola Solutions, Inc. Apparatus for and method of multi-factor authentication among collaborating communication devices

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006512648A (ja) * 2002-12-31 2006-04-13 インターナショナル・ビジネス・マシーンズ・コーポレーション ユーザ・セッションを管理するための方法、データ処理システム、およびコンピュータ・プログラム(異機種連合化環境における統合サインオフのための方法およびシステム)
WO2007066480A1 (ja) * 2005-12-07 2007-06-14 Sharp Kabushiki Kaisha 認証装置、そのプログラムおよび記録媒体
JP2010225078A (ja) * 2009-03-25 2010-10-07 Nec Corp 認証方法及びその認証システム並びにその認証処理プログラム
WO2012149384A1 (en) * 2011-04-28 2012-11-01 Interdigital Patent Holdings, Inc. Sso framework for multiple sso technologies
US20130036462A1 (en) * 2011-08-02 2013-02-07 Qualcomm Incorporated Method and apparatus for using a multi-factor password or a dynamic password for enhanced security on a device

Also Published As

Publication number Publication date
WO2014160853A1 (en) 2014-10-02
TW201515484A (zh) 2015-04-16
EP2979426A1 (en) 2016-02-03
US20160050234A1 (en) 2016-02-18
JP2018092645A (ja) 2018-06-14

Similar Documents

Publication Publication Date Title
JP2018092645A (ja) 複数のエンティティにまたがるシームレスな認証
US9467429B2 (en) Identity management with generic bootstrapping architecture
US20150319156A1 (en) Independent identity management systems
US9614831B2 (en) Authentication and secure channel setup for communication handoff scenarios
JP6189953B2 (ja) 無線ユニットのユーザを認証するための方法およびシステム
JP6307593B2 (ja) 必要とされる認証保証レベルを達成するための多要素認証
US9774581B2 (en) Identity management with local functionality
TWI514896B (zh) 可信賴聯合身份方法及裝置
US9237142B2 (en) Client and server group SSO with local openID
US20170374070A1 (en) Scalable policy based execution of multi-factor authentication
US20130298209A1 (en) One round trip authentication using sngle sign-on systems
US20150244685A1 (en) Generalized cryptographic framework
WO2013151752A1 (en) On-demand identity and credential sign-up

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161019

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161025

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20170125

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170425

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20170926